关注网络安全
和行业未来

什么是SSL泛洪?

Image result for SSL flooding


SSL泛洪可能是DDoS攻击中最常见的一种

SSL泛洪或称SSL重新磋商攻击利用在服务器端协商TLS安全连接时所需的处理能力。它要么向服务器发送大量的垃圾数据,要么不断地要求重新协商连接,从而使服务器的资源超出限制并使其脱机。

比较著名的例子是PushDo僵尸网络。它通过将SSL服务器与垃圾数据重载以尝试对其进行泛洪来针对SSL/TLS握手。基于SSL/TLS的一些特性,当大量请求泛滥服务器时,计算成本可能很高。

另一个针对SSL握手的著名泛洪攻击实例是THC-SSL-DOS工具,它最初被定位为SSL协议中的一个“bug”。 THC-SSL-DOS工具的目标是重新协商用于连接的加密方法。紧接在成功连接之后,该工具将与服务器重新协商以使用新的加密方法,这将需要服务器重新计算请求。

F5找到了一种方法来处理这种第二种攻击,方法是在给定的时间范围内忽略任何需要重新协商的连接。它的另一个好处是欺骗攻击者,让他以为攻击正在发挥作用,但其实这些请求都被忽略了。

尽管本文只提及了针对SSL的两个主要泛洪攻击事件,每天都有更多的类似攻击在上演。可悲的是,随着互联网的不断发展,设备和软件要付诸很多努力来应对DDoS攻击。即便是配备主流供应商的最新顶级设备和软件,也无法从根本上阻止DDoS攻击。最好的办法是做好预案,并在攻击发生时短时间内应对,而非等待攻击停止。

DDoS攻击防不胜防,居安思危永远保障网络安全的基本思路。

 

稿源:The ssl store

评论 抢沙发