Hydra: a ferramenta de brute-force que suporta 50 protocolos de rede

A Hydra, mantida pela organização alemã The Hacker’s Choice (THC) desde 2001, é a ferramenta de brute-force de logins de rede mais utilizada do mundo. O software open-source, escrito em C, suporta mais de 50 protocolos de autenticação — desde SSH e FTP até bases de dados como MySQL e PostgreSQL — e tornou-se peça obrigatória no Kali Linux e em todas as distribuições de testes de penetração.

Pontos-chave

• Ferramenta de brute-force de logins de rede com suporte a mais de 50 protocolos.
• Desenvolvida pela organização alemã The Hacker’s Choice (THC) desde 2001.
• Escrita em C, com paralelismo configurável até 64 threads simultâneas.
• Protocolos suportados incluem SSH, FTP, HTTP, SMB, RDP, MySQL, PostgreSQL, Cisco.
• Concorrente do Medusa, Ncrack e Patator — todos open-source.

O que é a Hydra

A Hydra é uma ferramenta de linha de comando que automatiza tentativas de login contra serviços de rede usando combinações de utilizador e palavra-passe extraídas de wordlists. A sua arquitetura modular adiciona suporte a novos protocolos sem recompilar o binário principal: cada protocolo tem um ficheiro .c independente que implementa a lógica de autenticação.

O projeto nasceu em 2001 dentro da The Hacker’s Choice, coletivo de hackers alemães responsável por ferramentas históricas como o sslscan e o apt2. O mantenedor principal é van Hauser, pseudónimo do programador Alexander H. A versão atual, 9.5, lançada em 2023, adicionou suporte a Redis, MongoDB e Kerberos — elevando o total de protocolos suportados para 54.

Funcionalidades principais

O motor de paralelismo permite configurar até 64 ligações simultâneas contra o alvo. A escolha do número de threads é delicada: poucas threads tornam o ataque lento, demasiadas podem sobrecarregar o servidor-alvo a ponto de este bloquear as ligações ou derrubar o serviço. A boa prática em pentests autorizados usa 4 a 16 threads consoante a capacidade do alvo.

O módulo de autenticação HTTP suporta quatro variantes: Basic, Digest, form-based GET e form-based POST. A flexibilidade permite atacar desde painéis administrativos de routers até aplicações web modernas que usam Single Sign-On. Para protocolos mais complexos como o SMB e o RDP, a Hydra integra-se com bibliotecas nativas do Samba e do FreeRDP.

A funcionalidade password spraying inverte a lógica tradicional: em vez de testar todas as palavras-passe contra um utilizador, testa uma palavra-passe comum contra todos os utilizadores. Esta abordagem evita bloqueios de conta — frequentes quando se excedem 3 a 5 tentativas falhadas seguidas. A técnica é particularmente eficaz contra serviços como o EDR corporativo que usa o Active Directory como backend de autenticação.

Casos de uso reais

Pentests a infraestruturas corporativas empregam a Hydra após enumeração de utilizadores via LDAP ou SNMP. A sequência típica: recolher a lista de contas válidas, executar password spraying com palavras-passe sazonais (“Verão2024!”, “PrimeiroLogin1”), e em seguida brute-force dirigido contra contas privilegiadas como Administrator, root e sa do SQL Server.

Em resposta forense, a Hydra serve para validar a robustez de credenciais apreendidas. Se os hashes NTLM extraídos de um servidor comprometido forem convertidos para texto limpo por ferramentas como o Hashcat, a Hydra testa essas credenciais contra outros serviços da rede — SSH, FTP, VPN — para mapear o raio de comprometimento.

CTF competitions como o HackTheBox e o TryHackMe usam a Hydra em desafios de iniciação. Boxes clássicas como Metasploitable 2 e Kioptrix têm serviços propositadamente vulneráveis que ensinam aos alunos as técnicas de brute-force num ambiente controlado — complementando ferramentas históricas como o Cain e Abel.

Mercado de ferramentas de brute-force

A Hydra divide o mercado de brute-force de rede com o Medusa (escrito por Joe Mondloch em C), o Ncrack (lançado pela equipa do Nmap em 2009) e o Patator (escrito em Python por Sebastien Macke). O Ncrack integra-se nativamente com o ecossistema do Nmap; o Medusa oferece melhor desempenho em ligações SSL; a Hydra mantém o catálogo mais amplo de protocolos suportados.

A evolução destas ferramentas reflete as mudanças na superfície de ataque. Em 2010, os alvos mais frequentes eram serviços SSH e FTP expostos à internet. Em 2024, os alvos preferenciais são APIs REST, painéis administrativos em cloud e serviços de autenticação federada como Okta e Azure AD — cenários em que a Hydra tem competidores mais modernos como o Burp Suite Intruder e o ffuf.

Considerações para adoção

A utilização da Hydra contra sistemas sem autorização escrita configura crime em Portugal (Lei 109/2009) e no Brasil (Lei 12.737/2012). Mesmo em ambientes autorizados, a ferramenta gera tráfego anómalo que dispara alertas em sistemas SIEM, EDR e WAF — tornando-a inapropriada para exercícios de red team que exigem stealth.

As contramedidas eficazes contra ataques da Hydra combinam três camadas: rate limiting no nível do serviço (máximo de 5 tentativas por minuto por IP), bloqueio automático após 3 falhas consecutivas, e autenticação multifator para todas as contas privilegiadas. Políticas de palavra-passe que exigem 14+ caracteres eliminam a viabilidade de dictionary attacks clássicos.

O repositório oficial está em github.com/vanhauser-thc/thc-hydra, com mais de 9 000 stars. O binário está pré-instalado no Kali Linux e disponível nos repositórios oficiais de Debian, Ubuntu, Fedora e Arch Linux.