如何应对SSL泛洪(SSL重新磋商攻击)

发布日期：2017-11-27

SSL泛洪可能是DDoS攻击中最常见的一种。SSL泛洪或称SSL重新磋商攻击利用在服务器端协商TLS安全连接时所需的处理能力，它要么向服务器发送大量的垃圾数据，要么不断地要求重新协商连接，从而使服务器的资源超出限制并使其脱机。

比较著名的例子是PushDo僵尸网络，它通过将SSL服务器与垃圾数据重载以尝试对其进行泛洪来针对SSL/TLS握手，基于SSL/TLS的一些特性，当大量请求泛滥服务器时，计算成本可能很高。

另一个针对SSL握手的著名泛洪攻击实例是THC-SSL-DOS工具，它最初被定位为SSL协议中的一个“bug”， THC-SSL-DOS工具的目标是重新协商用于连接的加密方法，紧接在成功连接之后，该工具将与服务器重新协商以使用新的加密方法，这将需要服务器重新计算请求。

F5找到了一种方法来处理这种第二种攻击，方法是在给定的时间范围内忽略任何需要重新协商的连接，它的另一个好处是欺骗攻击者，让他以为攻击正在发挥作用，但其实这些请求都被忽略了。

尽管本文只提及了针对SSL的两个主要泛洪攻击事件，但每天都有更多的类似攻击在上演。可悲的是，随着互联网的不断发展，设备和软件要付诸很多努力来应对DDoS攻击，即便是配备主流供应商的最新顶级设备和软件，也无法从根本上阻止DDoS攻击。最好的办法是做好预案，并在攻击发生时短时间内应对，而非等待攻击停止。

DDoS攻击防不胜防，居安思危永远保障网络安全的基本思路。

如何应对SSL泛洪(SSL重新磋商攻击)

数字证书

技术支持

关于沃通

旗下网站