撞庫攻擊：脫庫, 洗庫, 撞庫

一，背景：

用戶數據泄露一直是現在互聯網世界的一個焦點，從最近的京東撞庫抹黑事件，到以前的CSDN，如家用戶數據的泄露，服務商和黑客之間在用戶數據這個舞臺上一直在進行着曠日持久的攻防戰。

對於大多數用戶而言，撞庫多是一個很專業的名詞，可是理解起來卻比較簡單，撞庫是黑客無聊的「惡做劇」，黑客經過收集互聯網已泄露的用戶+密碼信息，生成對應的字典表，嘗試批量登錄其餘網站後，獲得一系列能夠登錄的用戶。 

以京東以前的撞庫舉例，首先京東的數據庫並無泄漏。黑客只不過經過「撞庫」的手法，「湊巧」獲取到了一些京東用戶的數據（用戶名密碼），而這樣的手法，幾乎能夠對付任何網站登陸系統，用戶在不一樣網站登陸時使用相同的用戶名和密碼，就至關於給本身配了一把「萬能鑰匙」，一旦丟失，後果可想而知。因此說，防止撞庫，是一場須要用戶一同參與的持久戰。

關於撞庫事件的始末下文中也會有詳細的闡釋。

說起「撞庫」，就不能不說「脫褲」和「洗庫」。

在黑客術語裏面，」拖庫「是指黑客入侵有價值的網絡站點，把註冊用戶的資料數據庫所有盜走的行爲，由於諧音，也常常被稱做「脫褲」，360的庫帶計劃，獎勵提交漏洞的白帽子，也是所以而得名。在取得大量的用戶數據以後，黑客會經過一系列的技術手段和黑色產業鏈將有價值的用戶數據變現，這一般也被稱做「洗庫」。最後黑客將獲得的數據在其它網站上進行嘗試登錄，叫作」撞庫「，由於不少用戶喜歡使用統一的用戶名密碼，」撞庫「也能夠是黑客收穫頗豐。

下圖是黑客，在「脫褲」「洗庫」「撞庫」三個環節所進行的活動。

二，用戶數據與黑色產業：

隨着地下產業鏈日漸成熟，用戶數據能夠被迅速地轉變成現金。

（1）用戶帳號中的虛擬貨幣，遊戲帳號，裝備，均可以經過交易的方式變現，也就是俗稱的「盜號」。 

（2）金融類帳號好比，支付寶，網銀，信用卡，股票的帳號和密碼，則能夠用來進行金融犯罪和詐騙。 

（3）最後一些可歸類的用戶信息，如學生，打工者，老闆等，多用於發送廣告，垃圾短信，電商營銷。也有專門的廣告投放公司，花錢購買這些分門別類的信息。

快速收益和高回報也讓愈來愈多的黑客鋌而走險。（刑法裏非法入侵計算機系統罪會被判處三年到七年有期徒刑）

而對於，信息被泄露的受害者，根據泄露信息的種類不一樣，生活也會受到不一樣程度的影響。

如上圖，若是你的多種網站和服務的用戶名密碼相同，那可能會蒙受更大的損失。

三，黑客怎樣獲取用戶數據：

黑客爲了獲得數據庫的訪問權限，取得用戶數據，一般會從技術層面和社工層面兩個方向入手。

技術方面大體分爲以下幾種：

（1）遠程下載數據庫文件 這種拖庫方式的利用主要是因爲管理員缺少安全意識，在作數據庫備份或是爲了方便數據轉移，將數據庫文件直接放到了Web目錄下，而web目錄是沒有權限控制的，任何人均可以訪問的；還有就是網站使用了一些開源程序，沒有修改默認的數據庫；其實黑客天天都會利用掃描工具對各大網站進行瘋狂的掃描，若是你的備份的文件名落在黑客的字典裏，就很容易被掃描到，從而被黑客下載到本地。 （2）利用web應用漏洞 隨着開源項目的成熟發展，各類web開源應用，開源開發框架的出現，不少初創的公司爲了減小開發成本，都會直接引入了那些開源的應用，但卻並不會關心其後續的安全性，而黑客們在知道目標代碼後，卻會對其進行深刻的分析和研究，當高危的零日漏洞發現時，這些網站就會遭到拖庫的危險。 （3）利用web服務器漏洞 Web安全其實是Web應用和Web服務器安全的結合體；而Web服務器的安全則是由Web容器和系統安全兩部分組成，系統安全一般會經過外加防火牆和屏蔽對外服務端口進行處理，但Web容器倒是必須對外開放，所以若是Web容器爆出漏洞的時候，網站也會遭到拖庫的危險。 社工方面大概有以下幾種： 

（1）水坑攻擊 黑客會利用軟件或系統漏洞，在特定的網站上進行掛馬，若是網站管理員在維護系統的時候不當心訪問到這些網站，在沒有打補丁的前提下，就會被植入木馬，也會引起後續的拖庫風險。 

（2）郵件釣魚 黑客會利用一些免殺的木馬，並將其和一些管理員感興趣的信息綁定，而後經過郵件發送給管理員，而當網站管理員下載運行後，也會致使服務器植入木馬，引起後續的拖庫風險。 

（3）社工管理員 對目標網站的管理員進行社會工程學手段，獲取到一些敏感後臺的用戶名和密碼。從而引起的後續拖庫。 

（4）XSS劫持 有時黑客也會爲了獲取某一些網站的賬號信息，他們會利用網站釣魚的手段去欺騙用戶主動輸入，但這種方式只能獲取部分賬號的真實信息，並無入侵服務器。

四，黑客怎樣解密獲得的數據：

一般狀況下，數據庫中的我的信息如，郵箱 電話 真實姓名 性別 等都是明文存儲的。而密碼一般通過MD5加密以後存儲。黑客能夠很輕易地把他須要的且是明文存儲的數據從數據庫中剝離出來。而MD5加密以後的數據這須要必定的解密流程才能看到明文。一般解密MD5的方法有，暴力破解，字典破解和彩虹表。

（1）暴力破解

暴力破解這是一種"時間消耗型"的破解方法，肯定了密文的加密方式的前提下，使用相同的加密算法，計算

M = H(P)

P爲全部的明文空間

H爲加密算法

M爲密文

而後將計算獲得的M和待破解的密文進行比較，若是匹配成功，則對應的明文P即爲待破解密文的明文。值得注意的是，這個枚舉P和比較M的過程每每是在內存中進行的，也即在計算的過程當中一邊產生，一邊比較，此次破解結束後，下一次破解又要從新開始從頭枚舉，效率不過高。

（2）字典破解

字典破解本質上仍是"暴力破解"的一種，在字典破解中，攻擊者是對全部的明文(M)進行預計算，將全部的明文的HASH都事先計算好，並保存起來。典型的MD5字典以下:

.... password　　5f4dcc3b5aa765d61d8327deb882cf99 admin　　　　21232f297a57a5a743894a0e4a801fc3 cnblog　　　　efbc3548e65e7225dcf43d3918d94e6f ....

在進行破解的時候，破解程序將字典映射Mapping到內存中，而後將HASH和待破解的密文進行逐條比較(這點和暴力破解是同樣的)，直到找到某條HASH和待破解的密文相同爲止。

值得注意的是，基於字典的暴力破解時間上比單純的內存計算型暴力破解更有效率，只要一次的"字典生成"花費必定的時間，後續的屢次破解均可以重複使用這個字典。

注意，這裏說的"字典"指的對應某個算法的字典: MD5 Directory、SHA1 Directory、NTLM Directory等等。

總的來講，字典攻擊是對單純的內存型暴力破解的一個改進，它引入了預處理的思想，但缺點也很明顯，須要佔用及其龐大的磁盤空間，以致於對於長度16以上的密碼字典，完整存儲根本不可能。

（3）彩虹表

這是對暴力破解和字典破解的一種折中的破解技術，在2003年瑞典的Philippe Oechslin 在Making a Faster Cryptanalytic Time-Memory Trade-Off一文中首次被提出，它有效的利用了預處理的優勢，同時又克服了字典破解消耗太大磁盤空間的缺點，在這二者中找到了一個平衡點。（具體實現技術請讀者自行百度）

五，黑客怎樣利用獲得的數據：

除了販賣數據獲得金錢上的利益以外，黑客還會把獲得的數據進行整理，製做成社工庫。利用社工庫對其餘網站進行撞庫攻擊。撞庫攻擊實質上就是，以大量的用戶數據位基礎，利用用戶相同的註冊習慣(相同的用戶名和密碼)，嘗試登錄其它的網站。

隨着社工庫的日益龐大，愈來愈多的用戶和網站受到來自撞庫攻擊的威脅。（如今網上流傳的數據庫已經超過千萬級別，不過這和某些黑客手中所掌握的數據比較起來只不過是冰山一角，詳情參見「道哥的黑板報：中國黑客傳說：遊走在黑暗中的精靈」）

不僅僅是帳戶密碼的泄露，在龐大的社工庫面前，用戶的我的隱私也是朝不保夕。好比如家賓館2000w數據泄露事件，致使衆多會員開房記錄曝光於互聯網。

QQ羣用戶信息的泄露，也影響到了幾乎全部QQ用戶的隱私。

再來看最近的京東撞庫事件，網上流傳了一張所謂的京東數據被泄露的圖片，其中涉及到少許京東用戶名密碼。

網上的白帽子分析了其中用戶名密碼的出處，發現圖片中的用戶名密碼均在，以前別的網站泄露的數據庫中存在。

這也說明了，撞庫攻擊在自己擁有大量用戶名密碼的基礎上，能夠在不攻破目標系統的前提下，獲取目標系統必定的用戶信息。

六，用戶怎樣保護本身的隱私：

做爲中國千萬網民中的一個，你可能以爲，我不用網銀，打遊戲不充錢，我沒有什麼被黑的價值，因此黑客是不會來光顧個人。其實否則，每個使用互聯網服務的用戶，在享受快捷方便的時候，都把本身暴漏在了風險之下。不是黑客會不會值得黑你，而是你有沒有可能被波及。下面是幾條建議有利於你規避風險。

（1）重要網站/APP的密碼必定要獨立，猜想不到，或者用1Password這樣的軟件來幫你記憶； 

（2）電腦勤打補丁，安裝一款殺毒軟件； 

（3）儘可能不使用IE瀏覽器 

（4）支持正版，由於盜版的、破解的老是各類貓膩，後門存在的可能性很大； 

（5）不那麼可信的軟件，能夠安裝到虛擬機裏； 

（6）不要在公共場合（如咖啡廳、機場等）使用公共無線，本身包月3G/4G，不差錢，固然你能夠用公共無線作點無隱私的事，以下載部電影之類的； 

（7）本身的無線AP，用安全的加密方式（如WPA2），密碼複雜些； 

（8）離開電腦時，記得按下Win（Windows圖標那個鍵）+L鍵，鎖屏，這個習慣很是很是關鍵；