Patator é uma ferramenta desenvolvida em python que tem como objetivo realizar teste de bute-force nos mais diferentes tipos de protocolos e tecnologias. Vejam a listagem abaixo:

 * ftp_login     : Brute-force FTP
 * ssh_login     : Brute-force SSH
 * telnet_login  : Brute-force Telnet
 * smtp_login    : Brute-force SMTP
 * smtp_vrfy     : Enumerate valid users using the SMTP VRFY command
 * smtp_rcpt     : Enumerate valid users using the SMTP RCPT TO command
 * finger_lookup : Enumerate valid users using Finger
 * http_fuzz     : Brute-force HTTP/HTTPS
 * pop_login     : Brute-force POP
 * pop_passd     : Brute-force poppassd (not POP3)
 * imap_login    : Brute-force IMAP
 * ldap_login    : Brute-force LDAP
 * smb_login     : Brute-force SMB
 * smb_lookupsid : Brute-force SMB SID-lookup
 * vmauthd_login : Brute-force VMware Authentication Daemon
 * mssql_login   : Brute-force MSSQL
 * oracle_login  : Brute-force Oracle
 * mysql_login   : Brute-force MySQL
 * pgsql_login   : Brute-force PostgreSQL
 * vnc_login     : Brute-force VNC
 * dns_forward   : Brute-force DNS
 * dns_reverse   : Brute-force DNS (reverse lookup subnets)
 * snmp_login    : Brute-force SNMPv1/2 and SNMPv3
 * unzip_pass    : Brute-force the password of encrypted ZIP files
 * keystore_pass : Brute-force the password of Java keystore files

Me chamou a atenção a boa documentação e a simplicidade de suas variáveis, além é claro de ser multiplataforma.. 🙂

O download da versão 4.0 poderá ser feito a partir do seguinte link

O Fail2ban é uma solução bem interessante para aqueles que desejam bloquear ataques de brute force em seus servidores linux/unix. Ele se entrega ao Iptables, criando regras que bloqueiam os endereços ips que tentaram, sem sucesso, mais de x vezes (pré-configurado por você) a acessar um determinado serviço.

O problema é a monitoração de serviços de e-mail, http e https por ele. EU já tive problemas devido a proxies. Um único ip sendo utilizado por milhares de usuários dá dor de cabeça, mas nada que um tuning no fail2ban que não resolva. 🙂

P.S.: Um leitor passou a dica de utilizar a ferramenta http://www.mztg.org/ para geração dos dicionários que serão necessários para rodar o Patator — Valeu Jairo..

P.S.S.: Vários colegas e amigos apontaram outras ferramentas que executam a mesma tarefa. Vejam, o Patator é uma alternativa, um plus para aqueles que desejam testar a segurança das senhas em seus ambientes. Sou a favor de softwares e soluções diferentes, mas fáceis de serem utilizadas.  Desculpem-me se não deixei claro.. 🙂