问题标签 [brute-force]

我有一个 SQL 2008 盒子，它最近成为对“sa”帐户（愚蠢的孩子......）进行暴力攻击的目标。是否可以量化在同样被禁用的帐户上使用错误密码登录 SA 的单次尝试的服务器负载？我最感兴趣的是 CPU 负载，因为该框已脱机，所以我必须追溯执行。我不必有一个确切的值，只需一个可以用作启发式并推断出请求数量的值。

I have a sql 2008 box under a brute force attack. They are trying to crack into the SA account which is already disabled. Is there a way, with Windows Firewall, to deny all requests to log into the SA account? Right now I'm blocking them with IPs but I'm wondering if there is way to configure a custom firewall rule to block all access just to the SA account

我自己不喜欢这种工具，但是人们说它是暴力破解密码最快的工具，但我的兴趣不是破解密码，我需要生成暴力数据的算法，例如“AA，AB， AC，......ZA”，但我似乎无法在源代码中找到它，谁能告诉我它会是什么样子或者我应该在哪里寻找它？

或者是否有人知道根据给定字符集生成这些字符串的快速算法？像

谢谢。

我正在使用内联汇编来构造一组密码，我将使用这些密码来暴力破解给定的哈希值。我使用这个网站作为密码构建的参考。

这在单线程环境中完美运行。它产生无限数量的递增密码。

因为我只有asm的基本知识，所以我理解这个想法。gcc 使用 ATT，所以我用-masm=intel

在尝试对程序进行多线程处理时，我意识到这种方法可能行不通。
以下代码使用 2 个全局 C 变量，我认为这可能是问题所在。

它在明文变量中产生不确定的结果。

我如何创建一个解决方法，让每个线程都访问他自己的明文变量？（如果这是问题......）。

我尝试修改此代码以使用扩展程序集，但每次都失败了。可能是因为所有教程都使用 ATT 语法。

我真的很感激任何帮助，因为我现在被困了几个小时:(

编辑：用 2 个线程运行程序，并在 asm 指令之后立即打印纯文本的内容，产生：
b
b
d
d
f
f
...

编辑2：

我现在正在做我的 10 年级科学展览项目，但我有点碰壁了。我的项目正在测试并行性对暴力破解 md5 密码哈希的效率的影响。我将使用 1、4、16、32、64、128、512 和 1024 个线程计算它测试的密码组合数/秒，以查看它的效率。我不确定我会做字典蛮力还是纯蛮力。我认为字典更容易并行化；只需将列表拆分为每个线程的相等部分。我还没有写太多代码；我只是想在开始编码之前计划一下。

我的问题是：

• 计算测试的密码组合/秒是根据线程数确定性能的最佳方法吗？

• 字典还是纯蛮力？如果纯粹是蛮力，您将如何将任务拆分为可变数量的线程？

• 还有其他建议吗？

我在理解这种蛮力方法时遇到了一些麻烦。我正在使用 Perl 提取问题及其选择。现在所有的问题都存储在一个数组中。我不确定如何处理这些答案。

我应该如何存储答案并组织我的代码，以便它执行类似于此的操作...

1. 选择问题的第一个选项。（所以通过一个，所有的问题都应该选择选项A）。

2. 提交以检查正确答案。

3. 解析答案，如果给定的答案是正确的，则将其标记为“正确”答案并忘记尝试为该问题选择任何其他选项。

   否则，请在下一轮继续浏览该问题的答案列表。

因此，下一次将选择该问题的第二个答案，直到多次提交后，它通过蛮力找到所有“正确”的答案。

我在如何存储答案并将它们与问题相关联时遇到问题，将它们划掉，因为它们是错误的或将其标记为“找到”。

我正在考虑使用哈希。请让我知道有关如何构建代码的任何建议。

谢谢！

编辑

样本数据 -

所以我正在使用 HASH 方法......我的哈希看起来像这样：

打印出散列：

现在我必须找到一种方法来遍历每个选项，直到找到该问题的正确答案。

编辑

为了澄清一些事情，让我们假设有 10 个问题。用户单击“开始练习”，从 10 个问题池中生成 4 个随机问题。因此，在当前状态下，我有四个问题及其答案。我将这些问题及其答案添加到数据结构中（来自下面的一个......或使用文件来存储它们）。接下来我要选择一个答案。然后用户必须提交这些问题以供审核。点击提交按钮后，提示会显示问题 x 是正确还是不正确。基于此，数据结构必须更新哪个是该问题的正确答案。

现在冲洗并重复。这次从同一个池中生成了另外四组随机问题。这一次，发现了两个新问题，因此必须将它们添加到数据结构中。应该使用类似的逻辑来寻找答案。此外，每个答案选项（选择）始终附加一个唯一的数值，因此我的服务器可以使用该值检查答案 ID。在我的服务器端，每个问题只有一个 ID 和相关的正确答案。使用我的桌子会破坏这个实验的目的。

正在发生的事情的可视化：

因此，在第一次通过时，选择应该如下所示：

点击提交按钮。服务器响应：

现在用找到的正确答案更新数据结构。

程序现在在提示时请求一组新的问题。这次服务器返回：

看，现在在这个过程中出现了两个新问题。对于这些人来说，必须选择第一个选项，但对于重复的选项，除非已经找到正确答案，否则应该选择下一个选项。

所以这将被发送到服务器：

服务器响应：

同样处理响应。希望这真的可以解决问题。另请注意，每个答案都将始终附加一个唯一的数值。

这是对矩阵色数的蛮力尝试。从某种意义上说，它似乎可以为我提供所需的正确颜色数量，但它不是 1、2、3、4，而是显示 1、2、3、6。由于某种原因，即使矩阵可能以较少的颜色成功，它仍然会失败并继续达到最大数量。它继续失败是否有原因？

“n”是颜色的最大数量。“v”是顶点，“m”是当前使用的颜色数。

伪代码：http: //i42.tinypic.com/deoc2u.jpg

样本输出：

文件名：file1
输入
6
0 1 1 0 1 1
1 0 1 1 1 1
1 1 0 1 0 1
0 1 1 0 1 1
1 1 0 1 0 1
1 1 1 1 1 0
1 失败
2 失败
3 失败
4 失败
5 失败

颜色：1 2 3 1 3 6

我们昨天在我们的 SQL 数据库上遭受了暴力尝试，显然希望防止这种情况再次发生。bot 或其他任何试图每秒登录 sa 帐户的程序大约 30 次，因此在第一个实例中，我们更改了 sa 帐户并限制了可以通过 Windows 防火墙访问 SQL 的 IP 范围。我们也在考虑禁用 sql server 浏览器并更改默认端口。

问题是这些东西都不能阻止恶意登录尝试。

我偶然发现了一款​​名为 QaasWall 的开源软件，我想知道是否有人使用过它以及它是否有信誉。这是项目站点的链接：http: //sourceforge.net/projects/qaaswall-window/

关于如何限制服务器登录尝试次数的任何其他提示将不胜感激。

非常感谢。克莱顿。

我真的很感激对这个实际问题的一些评论。

快速描述。 我有可变数量的链接，可用于构成给定的皮带宽度。问题是，每个链接有多少。选择标准：最好使用较长的项目。

例子。 假设我们要创建一个皮带宽度，W = 1024.0 其中一个模型具有以下链接长度：L = [34.0, 65.0, 96.0, 126.0]

问题是，每个链接有多少来制作宽度。

这是我尝试过的一些方法。

1.贪婪（选择最长的第一个以满足标准） c = [0,0,0,8] 其中c是每个项目的计数。这留下了 16.0 的差距，我什至无法容纳 1 个最小的项目。贪婪很容易，但并不好。

2. 选择循环 不太容易，我认为这是一个难题。我尝试了很多策略：填充小物品，然后依次移除它们以适应下一个尺寸。

3. 背包法 不太合适，因为这是基于给定数量的物品。

4. 子集和问题 这是背包的一个子类，但我无法让它工作。

5. 装箱问题 听起来很相似，但我无法将其应用于我的问题。

6.蛮力（随机选择） 奇怪的是，这个找到了很多完全匹配。我使用计数的简单多项式作为评级。rating = n[0] + n[1]* 2 + n[2] *3 + n[4]**4 + ... 蛮力的解决方案之一是 [4, 0, 4, 4] 给出正好是 1024。问题是，这种方法通常会产生不同的选择，因此并不理想。

7.穷举搜索 不实用，因为选择太多。

8. 模拟退火 从蛮力的成功来看，这看起来是一个不错的选择。有人可以给我举一个简单的例子吗（请不要是另一个旅行推销员）。

9. 遗传和粒子群 不确定这些。

现在，我陷入困境和沮丧。是否有可用于此问题的直接算法？

我正在研究身份验证并添加蛮力保护。我不确定我应该如何进行。

在对某个 IP 地址进行 15 次失败尝试后，我应该只做一个平面块......还是应该将它与用户名绑定？是否应该同时存在验证码阈值和绝对截止值？

我应该遵循其他模式吗？