THC Hydra — универсальный автоматический взломщик логинов и паролей

thc hydra брутфорс взлом паролей ssh brute force hydra установка pentest online password attack протоколы hydra словарная атака
THC Hydra — универсальный автоматический взломщик логинов и паролей

Иногда нужен инструмент, который просто и быстро бьёт в лоб — перебирает логины и пароли по словарю. Без фокусов, но с широким покрытием протоколов. И тут на сцену выходит THC Hydra — легенда среди брутфорсеров, простой как гвоздь, но по-прежнему актуальный в 2025 году.

Если Hashcat — это танк по хэшам, а Aircrack-ng — шпион для Wi-Fi, то Hydra — это универсальный отмычник, умеющий ломать онлайн-сервисы: от SSH и FTP до HTTP, SMTP, RDP и базы данных. И всё это через терминал. Красота!

Что такое THC Hydra

THC Hydra — это мощный инструмент для автоматизированного онлайн-брутфорса, поддерживающий десятки протоколов. Его задача проста: подключаться к целевому сервису, использовать заданный список логинов и паролей, и выявлять успешные комбинации.

В арсенале любого пентестера Hydra занимает достойное место, особенно когда нужно быстро проверить слабые пароли у внешних сервисов.

Ключевые возможности

  • Поддержка более 50 протоколов: SSH, FTP, Telnet, HTTP, RDP, VNC, SMB, SMTP и другие
  • Поддержка словарей логинов, паролей и пар логин:пароль
  • Параллельные потоки (ускорение атак)
  • Возможность проксирования (Tor, SOCKS5 и др.)
  • Гибкая настройка HTTP-запросов (формы, заголовки, cookies)

Установка THC Hydra

Linux (Ubuntu/Debian/Kali)

На Kali Hydra уже есть. Для других: 

 sudo  apt  update sudo apt install hydra

Или установка из исходников (актуальнее, если хотите последние обновления): 

 sudo apt install git build-essential libssl-dev git clone https://github.com/vanhauser-thc/thc-hydra.git cd thc-hydra ./configure make sudo make install

macOS

Через Homebrew всё просто: 

 brew install hydra

Windows

Официальной поддержки нет. Но можно использовать:

  • WSL (Windows Subsystem for Linux)
  • Виртуальная машина с Kali
  • Подключение к удалённому Linux-серверу с Hydra

Hydra — инструмент с душой Linux. Не надо пытаться заставить его дружить с Windows напрямую — они в разных лагерях.

Базовый синтаксис

Общий формат команды:

hydra [параметры] [протокол]://[цель]

Например, словарная атака на SSH-сервер: 

 hydra -L users.txt -P passwords.txt ssh://192.168.1.10
  • -L — файл со списком логинов
  • -P — файл со списком паролей
  • ssh:// — протокол

Попытка входа по HTTP (форма авторизации)

 hydra -L logins.txt -P pass.txt 192.168.1.20 http-post-form "/login.php:user=^USER^&pass=^PASS^:Invalid credentials"

Где:

  • ^USER^ и ^PASS^ — маркеры, которые заменяются логином и паролем
  • "Invalid credentials" — строка, по которой определяется неудачный логин

Hydra умеет брутить и Basic Auth, и формы, и JSON-запросы — нужно только правильно составить шаблон.

Brute-force по SMTP (например, на почтовом сервере)

 hydra -L users.txt -P passwords.txt smtp://mail.example.com

Полезные параметры

  • -t — число потоков (по умолчанию 16)
  • -s — порт, если нестандартный
  • -V — подробный вывод (видно каждую попытку)
  • -o — сохранить результат в файл
  • -I — сразу показывать найденные логины
  • -f — остановиться при первом успешном результате

Пример атаки с 64 потоками и логом в файл: 

 hydra -L users.txt -P passwords.txt -t 64 -o result.txt ssh://192.168.1.10

Протоколы, которые поддерживает Hydra

Вот лишь часть того, что он умеет:

  • ssh
  • ftp
  • telnet
  • smtp, pop3, imap
  • http-get, http-post, https, http-form, https-form
  • rdp
  • smb
  • vnc
  • mysql, postgres, oracle, mssql
  • ldap
  • rexec, rlogin, rsh

Чтобы посмотреть весь список, введи: 

 hydra -U

Альтернативы и сравнение

Инструмент Поддержка протоколов Особенности
THC Hydra 50+ CLI, гибкость, надёжность
Medusa ~20 Быстрее при больших словарях, но менее универсален
Patator Гибкая настройка Модульный, сложнее в освоении

Практические советы

  • Не превышайте 5–10 запросов в секунду на публичных целях — иначе бан
  • Используйте -f для экономии времени
  • Объединяйте с VPN или Tor для анонимности (через прокси)
  • Тестируйте только свои системы — Hydra слишком мощный для шалостей
  • Пишите свои шаблоны под веб-формы — это искусство!

Выводы

Hydra — это прямолинейный, но надёжный инструмент. В пентестах он незаменим, когда нужно проверить, насколько «дырявы» внешние сервисы. Быстро подключается, легко настраивается, не требует магии. Просто — вбей логины и пароли и смотри, как он работает.

В 2025 году он всё ещё актуален: поддерживает десятки протоколов, хорошо документирован, и работает даже там, где другие уже сдаются. А если захочешь поизвращаться с кастомными запросами — он не подведёт.

thc hydra брутфорс взлом паролей ssh brute force hydra установка pentest online password attack протоколы hydra словарная атака
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Присоединяйся к сообществу ИБ-специалистов

Обменивайся опытом, решай реальные задачи и прокачивай навыки вместе с экспертами на Standoff Defend*.

Присоединяйся уже сейчас

*Защищать. Реклама. АО «Позитив Текнолоджиз», ИНН 7718668887


article-title

Юрий Кочетов

Здесь я делюсь своими не самыми полезными, но крайне забавными мыслями о том, как устроен этот мир. Если вы устали от скучных советов и правильных решений, то вам точно сюда.