Brute-force - /DoS-Prävention in PHP

Ich versuche ein Skript schreiben, um zu verhindern, dass brute-force-login-versuche in eine website, die ich Baue. Die Logik geht ungefähr so:

  1. Benutzer sendet login-Daten.
  2. Überprüfen Sie, ob Benutzername und Passwort korrekt ist
    • Wenn ja, lassen Sie Sie in.
    • Wenn Nein, notieren Sie ein misslungener Versuch in der Datenbank. Überprüfen Sie, ob es zu viele nicht innerhalb einer bestimmten Frist (zB: 5 in 5 Minuten):
      • Wenn ja, dann pause Ausführung für 10 Sekunden: sleep(10), dann melden login failure an den Benutzer.
      • Bericht einen login failure an den Benutzer sofort

Erklären dieses zu einem co-worker, ich wurde gefragt, wie dies helfen würde, wenn ein hacker gesendet, sagen wir, 1000 Anfragen in der Sekunde. Würde die ersten 5 würden sofort zurückkehren, und dann die restlichen 995 alle nehmen nur 10 Sekunden?

Ich habe den leisen Verdacht, dass ich nicht vollständig verstehen, wie HTTP funktioniert - ist, dass die situation oben noch möglich, oder gibt es eine Begrenzung für die Anzahl der gleichzeitigen Anfragen, die ein server handhaben kann von einem client?

Würde eine bessere Lösung sein, um eine Erhöhung der Schlafzeit?

sleep($numRequestsInLast5Minutes - 5)

Also die ersten 5 wäre schnell, und dann alle nachfolgenden steigern würde schlafen.

  • Statt der Einführung einer schlafen, warum nicht die Einführung eines captcha nach einer maximal zulässigen fehlgeschlagenen login-versuche?
InformationsquelleAutor nickf | 2009-11-13
  1. 15

    Das problem ist die balance zwischen der Verfügbarkeit für die Benutzer und Angreifer-Modell.

    Erste Lösung

    If not password correct for a certain number of time:
    block the user
    send a reset link to the user

    Benutzer: könnte blockiert werden, und Sie mögen es nicht zurücksetzen

    Angreifer: blockiert alle Benutzer, indem Sie versuchen, zu authentifizieren, für alle Benutzer (vor allem, wenn alle Anmeldungen sind öffentlich verfügbar)

    Zweite Lösung

    If not password correct:
    sleep(amount_of_time)

    Die Frage ist: was ist der Wert von 'amount_of_time' ?

    Benutzer: kann lästig sein, zu warten, amount_of_time " für jeden Fehler

    Angreifer: weiter versuchen, mit niedrigeren test /Sekunden

    Dritte Lösung

    If not password correct:
    sleep(amount_of_time)
    amount_of_time = amount_of_time * 2

    Benutzer: weniger ärgerlich für einige Passwort-Fehler

    Angreifer: Sperrung der Benutzer das herstellen einer Verbindung durch das senden viel Falsches Passwort

    Vierte Lösung

    If not password correct for a certain number of time:
    submit a catchpa

    Benutzer: müssen lösen das CAPTCHA (nicht zu Komplex)

    Angreifer: müssen lösen das CAPTCHA (muss Komplex sein)

    Gute Lösung (und durch eine Menge von Websites), aber seien Sie vorsichtig, um unsere CAPTCHA. Umsetzung. Trotzdem gibt es einen trick (siehe nächste Lösung).

    Fünfte Lösung

    If not password correct for a certain number of time:
    block the ip
    (eventually) send a reset link

    Benutzer: Benutzer kann gesperrt sein, weil er sich nicht richtig erinnern, sein Passwort an.

    Angreifer: versuchen Sie das gleiche Kennwort mit unterschiedlichen Benutzer, da die Blockierung basiert auf der Anzahl der login durch den Benutzer.

    Endgültige Lösung ?

    If several login attempts failed whatever is the user by an IP :
    print a CAPTCHA for this IP

    Benutzer: User nicht die IP gesperrt, sondern müssen daran denken, Ihr Passwort an.

    Angreifer: schwierig, um eine effiziente brute-force-Angriff.

    Die wichtigen Hinweise

    Ist das login-Formular oder die login-submit link, der ist gesperrt ? Sperrung des login-Formulars ist nutzlos.

    Resistenz gegen brute-force ist ZUNÄCHST ein problem der Passwort-Komplexität, so müssen Sie eine strenge Passwort-policy (insbesondere im Fall von verteilten brute-force).

    Ich nicht schweigen von der Tatsache hash Ihre Passwörter mit Salz, Sie machen schon das richtige ? Denn wenn es einfacher ist, den Zugriff auf die Kennwort-Datenbank als brute-forcing, der Angreifer wird diese Lösung wählen ("Eine Kette ist nur so stark wie Ihr schwächstes Glied").

    • warum hat das nicht, wurde von Ihnen positiv bewertet werden noch? Wahrscheinlich die beste Antwort hier.. thx. Durch die Erwähnung schlafen ich hoffe, Sie schlage vor, nur die Sperrung von login? Ursache mit Schlaf in php würde nur das system verlangsamen, wenn es viele Anfragen.
    • Über den Schlaf, ich war auf halt die Skript-Ausführung, bevor die Antworten auf die user-Anfrage. Also ich glaube nicht, dass Schlaf erhöhen kann das system kostenlos...
    • Genauer gesagt, sleep() ist lokal auf dem Benutzer-Anforderung treatement, so gibt es keine Auswirkungen auf die anderen Anfragen...
    • aber alle Benutzer-Anfragen durch den server behandelt werden ..?!
    • Mein Punkt war, dass die generische (ich bin mehr zuversichtlich in Java/Servlet - /JSP-als in PHP), so kann der sleep() ist mit Ausnahme einer Unterbrechung von der Anforderung des Anwenders und NICHT die Blockierung der ganze PHP-Interpret. Ich weiß, dass es möglich ist in Java (jede user-Anfrage gewidmet ist thread), aber PHP ist nicht Multi-Thread-und der Schlaf Hilfe-Seite auf php.net ist nicht sehr klar über die realen Verhalten, so bin ich nicht wirklich sicher, wie Sie Sie handhaben eine schlafen zu blockieren, nur eine user-Anfrage.
    • Aus meinen logs, der Angreifer kann unterschiedliche IP-Adressen und nutzen Sie, um die kontinuierliche brute-force-Angriff. Man blockiert worden ist, dann eins und noch eins... ich glaube, blockieren von IP ist nicht mehr Arbeit für heute. In einigen Fällen, kann ein Angreifer gleichzeitige login-versuche (try to login zur gleichen Zeit) von 2 oder mehr zombies.

    InformationsquelleAutor Kartoch
  2. 13

    Ich würde vorschlagen, wenn der Benutzer vergeblich versucht hat, sagen, mehr als fünf mal und fünf Minuten, Sie beginnen Rückkehr eine 503 Service Unavailable sofort, für diese IP-Adresse. Wenn ein login fehlschlägt, könnten Sie mit memcache, um die aktuelle schlechte versuche, für die eine IP, und dann erhöhen Sie die Menge und speichern Sie es zurück zu memcache mit einem 5-minütigen Ablauf.

    Sie nicht möchten, um eine sleep in Ihrem PHP-code, wie, die es ermöglicht eine single-user-erstellen Sie viele verbindungen zu Ihrem web-server und möglicherweise bringen andere Benutzer.

    Da der Benutzer noch nicht angemeldet, Sie verfügen nicht über ein session cookie, und wenn der Benutzer versucht, den brute-force Ihren Weg in ein Konto, können Sie nicht ein cookie.

    • schlafen "...ermöglicht ein einzelner Benutzer zu erstellen, viele verbindungen". Hast du irgendwelche Quellen dafür? Es ist nicht so, dass glaube ich dir nicht, ich möchte nur mehr zu Lesen über Sie.
    • nun, Sie nicht wirklich brauchen, zu Lesen, ein research paper zu verstehen, das Dilemma der Verwendung von sleep() in dieser situation. Mit sleep() im Grunde hält die Ausführung des Skripts, was bedeutet, die Verbindung ist immer noch offen, bis es weiter läuft. Es gibt Grenzen, wie viele gleichzeitige verbindungen zu Ihrem server erlauben kann, so mit sleep (), die Sie technisch machen es einfacher für Hacker, DoS Ihre server ...
    • warum nicht umleiten die ipnr durch .htaccess?
    InformationsquelleAutor brianegge
  3. 4

    Benutzt habe ich etwas in dieser Art...

    1. Überprüfen Sie Benutzername und Kennwort

      1.1 Wenn keine übereinstimmung dann, aufzeichnen letzten fehlgeschlagenen login-Zeit für die combo und die Anzahl der fehlgeschlagenen logins.

      1.2 Jedes scheitern macht die Wartezeit zwischen Anmeldung etwas wie failsCount * 30 Sekunden bis zu einem maximum (etwa 10 Minuten).

    • Dies bedeutet, dass ein brute-force-Angriff exponentiell länger und länger.
    • Könnte es sperren, einen Benutzer aus - aber es wird nicht zählen, login fehlgeschlagen, während Sie versuchen, sich während der lockout-Zeit. Dies sollte minimieren können.

    Ich entwickelt habe, diese aber nicht freigegeben, es in der wildnis noch, so dass jegliches feedback wäre sehr geschätzt.

    • tun die fehlgeschlagene logins verfallen? wenn also 2 Monaten ich habe mein Passwort vergessen und habe versucht, 6 verschiedene Dinge, und jetzt tippte ich das Passwort falsch ist, würde ich gezwungen sein, warten Sie 3 Minuten, bevor Sie es erneut versuchen?
    • Umm ich glaube, ich habe etwas getan, wie if (timeNow - timeFailed) > 3600 dann Zähler zurücksetzen.
    • Schöne DoS : ein Angreifer kann weiter versuchen, die falschen Passwörter für einen Benutzer, um es ihm verbieten zu zugreifen.
    • Ja, ich glaube, dass ist besser, als irgendwann so dass der Angreifer Zugriff auf Ihr Konto.
    InformationsquelleAutor alex
  4. 2

    Machte ich eine Klasse, die kümmert sich um brute-force-Angriff-Schutz in PHP.

    https://github.com/ejfrancis/BruteForceBlocker

    protokolliert alle fehlgeschlagenen logins die ganze site in eine db-Tabelle, und wenn die Anzahl der fehlgeschlagenen logins in den letzten 10 Minuten (oder welcher Zeitrahmen Sie wählen) ist über eine bestimmte Grenze, es erzwingt eine Zeitverzögerung und/oder ein captcha-Anforderung, bevor Sie sich einloggen wieder.

    Beispiel:

    //build throttle settings-array. (# kürzlich gescheiterte logins => Antwort).

    $throttle_settings = [

        50 => 2,            //delay in seconds
    150 => 4,           //delay in seconds
    300 => 'captcha'    //captcha

    ];

    $BFBresponse = BruteForceBlocker::getLoginStatus($throttle_settings);

    //$throttle_settings ist ein optionaler parameter. wenn es nicht aufgenommen wird,werden die Standardeinstellungen array in BruteForceBlocker.php verwendet werden

    switch ($BFBresponse['status']){

    case 'safe':
    //safe to login
    break;
case 'error':
    //error occured. get message
    $error_message = $BFBresponse['message'];
    break;
case 'delay':
    //time delay required before next login
    $remaining_delay_in_seconds = $BFBresponse['message'];
    break;
case 'captcha':
    //captcha required
    break;

    }

    InformationsquelleAutor ejfrancis
  5. 1

    Ich bin nicht sicher, was die beste Praxis ist, aber beim Umgang mit DoS-Angriffen, eine bessere Strategie ist eigentlich umleiten Verkehr Weg von Ihrem server. Einstellung der timeouts nicht wirklich helfen, weil du bist immer noch der, der die Anfrage verarbeitet und PHP.

    Haben Sie als Einrichtung einen anderen web-server läuft ein einfacher abgespeckte version Ihres login-Seite? Wenn der Benutzer versucht, zu viele Male (z.B., Tausende Male), eine Nachricht senden, konfigurieren Sie Ihren router und leiten Sie diese Benutzer zu der zweiten web-server.

    Es ist, wie wenn Webseiten get hit mit dem slashdot-Effekt, viele von Ihnen nur umleiten von Datenverkehr entfernt, bis der Verkehr reduziert wird.

    • IMHO, Es hängt von der motivation des Angreifers: wenn das Ziel ist, Licht DOS durch einen Benutzer, ja, es ist eine mögliche Gegenmaßnahme. Aber wenn das Ziel ist die Vermeidung von brute-force das Passwort, es hängt von dem Verhalten des zweiten web-server (dummy ? die Blockierung ?).
    InformationsquelleAutor Andrew Keith
Schreibe einen Kommentar