SSL简介及其压力测试THC-SSL-DOS工具介绍

最新推荐文章于 2023-02-15 12:52:18 发布
最新推荐文章于 2023-02-15 12:52:18 发布
阅读量2.2k 收藏 3
点赞数
分类专栏: 密码学 SSL 文章标签: 密码学 SSL
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36779888/article/details/89199779
版权

文章目录

SSL简介

安全套接层(Secure Sockets Layer,SSL)协议是一个安全传输、保证数据完整的安全协议,之后的传输层安全(Transport Layer Security,TLS)是SSL的非专有版本。SSL协议结合了对称密码技术和公钥密码技术,提供秘密性、完整性、认证性服务。
它处于应用层与传输层之间,是一个二层协议,其协议栈如下表所示:

SSL握手协议SSL修改密文协议SSL告警协议HTTP
SSL记录协议
TCP
IP
而其中四个主要协议的基本作用如下:
  1. SSL记录协议
    为高层协议提供基本的安全服务,提供实际的数据传输。该协议会把经由它的数据流切成一个个的小片段,并且对每个片段都进行加密传输,而对于接收方则是进行解密与验证;
  2. SSL握手协议
    该协议负责协商客户端与服务器的会话密钥,即通过前期的握手过程来商定一个双方后续会话采用的加密密钥,SSL记录协议用该密钥加密双方的通信信息;
  3. SSL修改密文协议
    在SSL协议中,同一个会话密钥不允许长时间使用,所以客户端与服务器每隔一段时间都需要重现协商一个会话密钥。而该协议由一条消息组成,这条消息可以由任意一方发送,用来提醒对方修改特定的状态;
  4. SSL告警协议
    本协议主要用来传输SSL连接的相关出错信息等。

SSL基本的工作流程

SSL协议的基本流程可以抽象成如下6个基本步骤:
SSL基本流程

  1. 客户端向服务器发送请求信息,用来请求协商SSL版本号、询问选择何种对称加密算法等,从而开启了整个会话连接;
  2. 服务器收到请求后,会返回给客户端所请求的信息,包含确定的SSL版本号与对称加密算法,还有用某个CA中心私钥加密后的服务器证书,证书中包含服务器的RSA公钥
  3. 客户端对照自己的可信CA表,判断服务器证书是否在可信CA表中。若在,则使用CA表中的公钥进行解密,得到服务器公钥,若不在,则终止通信;
  4. 接着客户端会随机产生一个对称密钥,用于后续的通信加密,并使用服务器公钥加密发送给服务器;
  5. 此后,双发互相确认使用客户端发送的对称密钥进行会话加密;确认完成后,再次互相确认双方完成了握手过程;
  6. 之后,双方的会话便由指定的对称密码算法以及指定密钥进行加密通信了。

THC-SSL-DOS工具介绍

THC-SSL-DOS是一个验证SSL性能的工具。建立安全的SSL连接需要服务器上的处理能力比客户机上多15倍。THC-SSL-DOS利用这种不对称特性,重载服务器并将其从Internet上断开。这个问题影响到当前所有SSL实现。这种攻击进一步利用SSL安全重新协商特性,通过单个TCP连接触发数千次重新协商。
简单来讲,就是利用SSL协议的不足(服务器消耗过大),来重复发起无效连接,这样便会大量消耗服务器的资源,最终达到DOS(拒绝服务攻击)的目的。
kali-linux提供了这一工具,具体的介绍见https://tools.kali.org/stress-testing/thc-ssl-dos.
其用法为:
thc-ssl-dos -l 100 192.168.1.208 443 --accept
表示建立100条连接,来洪泛攻击指定IP(192.168.1.208) 与端口 (443)

THC-SSL-DOS工具实例

现在我们有一台操作机192.168.1.2与一台目标机192.168.1.3.

  1. 首先,在操作机上打开THC-SSL-DOS工具:
    打开工具
  2. 切换到目标机,打开wireshark进行抓包检测:
    在这里插入图片描述
  3. 在操作机对目标机发起攻击:
    发起攻击
  4. 此时切换回目标机查看捕获的数据包:
    数据包
    可以看到,当客户端连接到服务端正常握手后,客户端重复发起握手,不断进行循环攻击
    而此时目标机的CPU资源也被抢占一空:
    CPU
    通过命令行执行指令netstat -an可以看到连接状态中存在大量攻击机和目标机的连接重复连接

总结:SSL的优劣势

SSL协议的优点,通过上面的基本原理可以知道,它引入了认证机制以及通信加密机制,总结来讲可以是下面几点:

  1. 机密性
    即连接是私有的。在初始握手阶段,双方建立对称密钥后,信息即用该密钥加密。
  2. 完整性
    在信息中嵌入信息鉴别码(MAC)来保证信息的完整性。其中使用了安全哈希函数(例如SHA和MD5)来进行MAC计算。
  3. 鉴别
    在握手阶段,客户对服务器用公开密钥来进行身份认证。

SSL协议的不足,主要体现在其对资源的消耗上。
通过其压力测试工具所导致的结果,我们可以知道它会给服务器带来较多的资源消耗,因为SSL要求对每个数据进行加密和解密操作,因而在带来高性能的同时,对系统也要求高资源开销。
至于如何防范针对SSL的洪泛攻击,就类似于SYN FLOOD一样,只能从外部入手,通过一些辨别机制或IP路由限制等来防范,因为这种攻击本质上是协议本身带来的。

如梦如幻uuu
关注
专栏目录
SSL-DoSSSL-DDos攻击与防御
focus on security
03-25 901
SSL握手的过程中,在协商加密算法时服务器CPU的开销是客户端开销的15倍左右。攻击者利用这一特点,在一个TCP连接中不停地快速重新协商(这种行为是被SSL所允许的),从而耗尽服务器CPU资源,这种攻击叫做SSL-DoS。...
kali工具详细说明----------压力测试
墨痕诉清风的博客
12-03 445
Stress Testing(压力测试工具名称 工具说明 命令行/界面 开源/付费 编写语言 平台支持 源码链接 备注 DHCPig 可以发起一个高级的DHCP耗尽攻击。它将消耗局域网内的所有IP地址以及阻止新客户端获取IP,同时它也防止旧客户端释放IP地址。另外,它会发送无效的ARP去把所有的windows主机震下线。 命令行 ...
ssl dos 用于测试https网站
12-20
可以作为https网站的测试之用,也可以作为网络安全的兴趣研究
SSL压力测试工具THC-SSL-DOS
weixin_33781606的博客
08-14 212
2019独角兽企业重金招聘Python工程师标准>>> ...
Thc-ssl-dos
xufuangchao的博客
05-14 465
文章目录概述Thc-ssl-dos 安装Thc-ssl-dos 参数 Platform: Linux kali141 5.3.0-kali1-amd64 #1 SMP Debian 5.3.7-1kali1 (2019-10-21) x86_64 GNU/Linux 概述 Thc-ssl-dos 是一款用于 SSL DoS 的测试工具Thc-ssl-dos 安装 apt install thc-ssl-dos -y -o Acquire::ForceIPv4=true Thc-ssl-dos 参数
SSL压力测试工具--thc-ssl-dos
chaojixiaojingang
08-24 5402
       昨天学习kali系统的一些工具的使用时,发现一个基于TCP协议的攻击的工具,感觉挺有意思的,就自己试了下,利用这个工具攻击自己的物理机,果然发现资源一直在利用,所以把过程写下来,供大家学习。 thc-ssl-dos工具介绍:        SSL广泛应用安全加密和认证领域,如HTTPS、POP等服务。使用SSL,会加重服务器的负担。例如,在协商阶段,服务器的CPU开销是客户端的1...
thc-ssl-dos攻击https站点
→_→
08-18 1906
声明:以下内容均来自“实验吧”免费公益渗透平台,该平台至今仍旧在维护,估计~~,为此把以前保留的笔记拿来分享下。 [实验目的] 1) 使用thc-ssl-dos工具攻击目标网站,使目标网站无法正常访问 [实验原理] 1) 拒绝服务攻击(Dos) 常见的DOS攻击都会包含用额外通信请求来形成流向目标的洪水。这些过载会导致资源无法响应合理的网络请求,或是显著的降低响应的速度。Dos攻击可以针对系统资源,配置信息、状态信息等能对系统运行造成危害的所有操作。该攻击工具的一个最基本特点是 ,它...
THC SSL DoS的安装过程
u012140971的博客
06-02 1667
系统与软件包: ****Redhat Linux 9.0 ****thc-ssl-dos-1.4.tar.gz,下载地址:http://www.thc.org/thc-ssl-dos/thc-ssl-dos-1.4.tar.gz 安装顺序: 1.Redhat Linux 9.0;2.thc-ssl-dos-1.4.tar.gz 安装指令: wget http://www.thc
DDoS攻击之SSL Flood攻击
蔚可云的博客
02-14 2008
DDoS攻击时常见的网络攻击手段,而泛滥的SSL链接是DDoS最常见的攻击方法之一。对于分布式拒绝服务攻击来说,当多个系统排斥目标系统的宽带和资源时,多个计算机会同一时间对目标服务器进行超负荷访问,导致服务器瘫痪。SSL Flood洪水攻击也是这样一种攻击模式。 在深入SSL Flood攻击之前,需要先了解一些事项。即传输控制协议(TCP),它完成第四层传输层所指定的功能。TCPSYN Flood洪水攻击已经存在多年,并且DDoS检测和缓解在很大程度上是被动的,可见这种攻击仍会持续。如果服务器正在被DD.
kali下经典的ddos攻击软件_Kali-DDoS工具集合
weixin_39776344的博客
12-22 1950
1、SSL连接耗尽工具(thc-ssl-dos)root@kali:~/DDoS_tool/web#thc-ssl-dos-h__________________________\_____/|\\____\||/~\/\\/||\Y/\\____|____|\___|_/...
SSL-DoS攻击工具——thc-ssl-dos
weixin_33728268的博客
04-28 1493
2019独角兽企业重金招聘Python工程师标准>>> ...
THC SSL DOS攻擊 一種沒有解藥的新攻擊工具
weixin_34092455的博客
10-22 194
研究人员发布了一个***工具,任何人都可以把提供SSL安全连接的网站***下线,新的方法被称为SSL拒绝服务***(SSL DOS)。德国***组织“The Hacker’s Choice”发布了THC SSL DOS,利用SSL中的已知弱点,迅速消耗服务器资源,与传统DDoS工具不同的是,它不需要任何带宽,只需要一台执行单一***的电脑。  漏洞存在于协议的...
thc ssl dos***
weixin_33700350的博客
04-11 163
着名的德国***组织"The Hacker's Choice"今日公布了一种可快速攻破SSL服务器的新型DoS工具,而***使用的平台却仅仅是一台普通PC.   据介绍,这种新型的DoS工具被称之为THC-SSL-DOS,它被设计用来提醒人们注意SSL中的漏洞,并敦促业界采取措施让SSL变得更安全。   "几个月前我们就意识到SSL中存有漏洞,为此我们决...
Kali Linux- 社会工程及压力工具教程
简介
02-04 2082
这期比较短,但是包含了社工和DDOS工具下期讲解嗅探和欺骗和密码破解工具我发现没人发kaliLinux工具教程虽然有,但也是零零散散的,所以我出了这期Linux工具教程,但我感觉还是不详细。
一步一步开发SSL在线工具
最新发布
qq_53058639的博客
02-15 371
计算机专业的同学都应该接触了解过,这部分可以直接略过。没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。不过我们这个水平也就算个渗透测试工程师,也就只能做个基础的安全服务,而这个领域还有很多业务,像攻防演练、等保测评、风险评估等,我们的能力根本不够看。
socket调试工具、socket调试软件、tcp调试工具、tcp调试软件(sokit)
热门推荐
Dontla的博客
07-11 1万+
真的非常好用,可做服务端,可做客户端参考文章:socket调试工具下载地址:https://www.jb51.net/softs/539324.html#downintro2
【安全牛学习笔记】Kali Linux 安装-持久加密USB安装、熟悉环境、熟悉BASH命令
weixin_34159110的博客
09-06 1636
持久加密USB安装-1LUKS: linux UNified Key Setup 磁盘分区加密规范 不依赖于操作系统的磁盘级加密 Windows——DoxBox 后端:dm-crypt 前端:cryptsetup 微软的bitlocker将镜像刻录到U盘 dd if=kali-linux-1.1.0-amd64.iso of=/dev/sdb bs=1Mroot...
kali linux ddos工具,Kali-DDoS工具集合
weixin_39671509的博客
05-03 1488
1、SSL连接耗尽工具(thc-ssl-dos)root@kali:~/DDoS_tool/web#thc-ssl-dos-h__________________________\_____/|\\____\||/~\/\\/||\Y/\\____|____|\___|_/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值