一、形式
暴力破解大致可以分为以下三种:
1、固定账号,通过不同的密码进行暴力破解
这种方式会在对方的服务器日志中留下记录,管理员可以通过查看登陆失败的日志,很容易察觉遭受了攻击。
2、固定密码 ,通过不同的账号进行暴力破解
这种方式较之上一种最大的优点就是一段时间内,对于用户来说,日志中只会有一次登陆失败的记录。一段时间以后,攻击者可以用另一个密码再次进行此活动。
3、通过常用的账号密码进行暴力破解
二、防御措施
1、不管登录成功还是失败返回同样的信息,这样攻击者就无法通过返回信息的长度来判断正确密码。
2、设置用户登录次数。同一用户登陆失败三次以后,锁定用户,一段时间过后解锁或者联系管理员解锁。
3、限制IP。对于同一IP多次尝试登录的用户,封禁此IP。但是这种方式有个缺点就是攻击者其实是可以改变自己的IP地址的。
4、设置验证码。对于登录处需要设置验证码,而且必须是在后端进行验证,因为通过JS进行验证很容易被绕过。