SSL-DoS和SSL-DDos攻击与防御

已于 2022-07-12 17:47:41 修改
阅读量838 收藏 4
点赞数
分类专栏: 网络安全 文章标签: ddos 网络安全 系统安全 安全架构
于 2022-03-25 09:17:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/realmardrid/article/details/123727148
版权

攻击原理

SSL握手的过程中,在协商加密算法时服务器CPU的开销是客户端开销的15倍左右。攻击者利用这一特点,在一个TCP连接中不停地快速重新协商(这种行为是被SSL所允许的),从而耗尽服务器CPU资源,这种攻击叫做SSL-DoS。

如果多个僵尸主机向服务器发起SSL-DoS,则叫做SSL-DDoS攻击。,利用该SSL漏洞的攻击的详细过程如下图所示:

攻击过程分析

上述报文可以看到SSL服务器的资源如何被耗尽。

SSL客户端发送一条ClientHello消息来初始化一次新的握手,该消息大约100字节左右,不需要加密。

服务器端响应ClientHello消息,需要连续发出3个消息,ServerHello、Certificate、ServerHelloDone,这3个消息一般在3000字节左右,需要用高级加密标准AES或流加密算法簇RC-4进行加密后再发送。

每次握手,SSL服务端发送的数据比客户端多了30倍,还要进行加密,从而导致服务端CPU计算资源大量占用。

抓包分析:

攻击一段时间,服务器不能响应

防御方法

针对Pushdo僵尸的垃圾报文攻击,可以在建立TCP连接后进行报文规格检查。

严格的规格检查:

对SSL连接中的所有报文进行检查,如果其不符合ssl报文规格,则丢弃该报文并对源ip进行封禁。

优点,可以发现任何类型的ssl垃圾报文,准确度高;

缺点,如果出现ssl分段报文,无法检测或者检测代价高;

宽松的规格检查:

对建立tcp连接后的一个或者几个ssl报文,如对client hello、change cipher spec进行规格检查;

优点,检测效率高;

缺点,不能对检测范围外的ssl垃圾报文进行防护;

针对thc-ssl-dos及类似的以ssl握手协商过程进行dos的攻击,可以对源ip或者一条ssl连接内的协商报文(change cipher spec报文)速率进行统计。

如果协商报文速率异常,则丢弃该连接的所有报文。

还有一些网络安全公司提出了关闭重握手(Renegotiation)以防止该漏洞被利用的解决方案,但这只能延缓SSL服务被攻击所导致的宕机到来时间, 还会导致SSL扩展服务无法使用。相关用户应尽快进行SSL服务器安全检查,并且及时调整相关安全产品的安全规则,以应对此漏洞带来的安全风险。

securitysun
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ansible-role-ssl-certs:生成和部署SSL证书
01-31
ansible-role-ssl-certs:生成和部署SSL证书
SSL-DoS攻击工具——thc-ssl-dos
weixin_33728268的博客
04-28 1475
2019独角兽企业重金招聘Python工程师标准>>> ...
Web 安全SSL 剥离攻击详解
最新发布
路多辛的所思所想
04-05 1178
SSL(Secure Sockets Layer)是用于在互联网上建立加密连接,确保数据在客户端和服务器之间传输的过程中不被窃取或篡改一种安全协议。TLS(Transport Layer Security)是 SSL 的升级版,提供了更强的安全功能。在 SSL/TLS 的保护下,用户可以通过 HTTPS 协议安全地访问网站,避免敏感信息(如登录凭证、信用卡信息等)被中间人攻击者窃取。浏览器发送一个包含支持的 SSL/TLS 版本、加密算法选项等信息的“客户端Hello”消息。
ssl dos 用于测试https网站
12-20
可以作为https网站的测试之用,也可以作为网络安全的兴趣研究
ssl-hostinfo-prometheus-exporter
05-12
监视Prometheus中的SSL证书 用法 首先安装应用 npm i -g @toolisticon/ssl-hostinfo-prometheus-exporter 此nodejs应用程序假定您定义了一个URL列表,以通过环境变量进行检查: export URLS_TO_CHECK=app1.sample.com,app2.sample.com ssl-hostinfo-prom 样本值 可以通过localhost:9000获得指标: security_ssl_mozilla_observatory{algorithm_version="2",end_time="1547804767000",grade="D",hidden="false",likelihood_indicator="MEDIUM",response_headers_cache-control="no-cache
ssl-kill-switch2-release.zip
12-26
ssl-kill-switch2-release.zip
thc-ssl-dos攻击https站点
→_→
08-18 1807
声明:以下内容均来自“实验吧”免费公益渗透平台,该平台至今仍旧在维护,估计~~,为此把以前保留的笔记拿来分享下。 [实验目的] 1) 使用thc-ssl-dos工具攻击目标网站,使目标网站无法正常访问 [实验原理] 1) 拒绝服务攻击(Dos) 常见的DOS攻击都会包含用额外通信请求来形成流向目标的洪水。这些过载会导致资源无法响应合理的网络请求,或是显著的降低响应的速度。Dos攻击可以针对系统资源,配置信息、状态信息等能对系统运行造成危害的所有操作。该攻击工具的一个最基本特点是 ,它...
SSLDOS攻击神器---THC-SSL-DOS 使用笔记
煜铭2011
06-18 1万+
0x00前言     德国黑客组织“The Hacker’s Choice”发布了工具THC SSL DOS,与传统DDoS工具不同的是,只需要一台执行单一攻击的电脑就能迅速消耗服务器资源,造成服务器拒绝服务。 这个攻击方式的本质是消耗服务器的CPU资源,在协商加密算法的时候服务器CPU的开销是客户端的 15 倍左右。而Renegotiating机制让攻击者可以在一个TCP连接中不停的快
Thc-ssl-dos
xufuangchao的博客
05-14 424
文章目录概述Thc-ssl-dos 安装Thc-ssl-dos 参数 Platform: Linux kali141 5.3.0-kali1-amd64 #1 SMP Debian 5.3.7-1kali1 (2019-10-21) x86_64 GNU/Linux 概述 Thc-ssl-dos 是一款用于 SSL DoS 的测试工具。 Thc-ssl-dos 安装 apt install thc-ssl-dos -y -o Acquire::ForceIPv4=true Thc-ssl-dos 参数
简单的DOS攻击
热门推荐
qq_43688708的博客
03-02 1万+
实现简单的DOS攻击,主要介绍了由python编写的hammer脚本和Hping3工具
THC SSL DoS的安装过程
u012140971的博客
06-02 1631
系统与软件包: ****Redhat Linux 9.0 ****thc-ssl-dos-1.4.tar.gz,下载地址:http://www.thc.org/thc-ssl-dos/thc-ssl-dos-1.4.tar.gz 安装顺序: 1.Redhat Linux 9.0;2.thc-ssl-dos-1.4.tar.gz 安装指令: wget http://www.thc
超微H12SSL-C用户手册
03-24
超微H12SSL-C用户手册
K8S集群ssl证书监控ssl-exporter资源清单文件及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
K8S集群ssl证书监控ssl-exporter资源清单及镜像文件
01-14
原文链接:https://blog.csdn.net/m0_37814112/article/details/122349602
什么是SSL洪水攻击,有办法处理吗?
dexunyun的博客
03-10 1015
利用SSL/TLS协议中重新协商过程的特性,通过快速建立多个SSL/TLS连接并进行大量的重新协商操作,一旦连接成功,该工具就会与服务器重新协商,要求使用一个新的加密方法,该加密方法会要求服务器再次处理请求,通过这样大量的操作以消耗服务器的CPU资源,这种攻击方式对于开启了重新协商功能的服务器尤为有效,因为重新协商过程需要服务器进行额外的计算和处理。检测和缓解加密洪水攻击的支出成本,尤其是在客户部署网络安全解决方案的时候,企业需要投资先进的安全解决方案和基础设施来防范这些攻击,需要额外增加企业成本。
常见的DDOS攻击及原理-应用层
jj1130050965的博客
07-20 992
一、 简述 随着网络技术和网络应用的发展,网络安全问题显得越来越重要,已经被提到一个很高高的高度。DDOS攻击随着互联网的快速发展,也日益猖獗,从原来的的几兆、几十兆,到现在的几十G、几十T的流量攻击,形成了一个很大的利益链。DDOS攻击由于容易实施、难以防范、难以追踪等而成为最难解决的网络安全问题之一,给网络社会带来了极大的危害。同时,拒绝服务攻击也将是未来信息战的重要手段之一。 DDoS攻击手段是在传统的DoS攻击基础之上产生的一类攻击方式。单一的DoS攻击一般是采用一对一方式的,当攻击
如何防止基于SSL / TLS的攻击?
chenjing1234567890的博客
03-21 613
近两年的网络安全出现了多起前所未有大规模数据泄露事件,从中小型企业到国家事业单位,从京东商城到国家电网。受害企业不仅遭受经济上的损失,企业名誉也受到严重的影响。尽管各大媒体时常大肆宣传各种信息安全事件,大众都觉得这已经不是什么新鲜事件,但是这些泄露事件对于信息安全行业来说具有极大学习价值。 ...
https ddos攻击——由于有了认证和加解密 后果更严重 看绿盟的产品目前对于https的ddos cc攻击需要基于内容做检测...
djph26741的博客
09-11 622
如果web服务器支持HTTPS,那么进行HTTPS洪水攻击是更为有效的一种攻击方式,一方面,在进行HTTPS通信时,web服务器需要消耗更多的资源用来进行认证和加解密,另一方面,一部分的防护设备无法对HTTPS通信数据流进行处理,也会导致攻击流量绕过防护设备,直接对web服务器造成攻击。 HTTPS的DDoS攻击防护 随着越来越多的网络业务由明文HTTP转向加密HTT...
('--ignore-ssl-errors')
09-12
而使用'--ignore-ssl-errors'参数,可以让爬虫程序忽略SSL证书错误,继续进行访问和数据获取。 通常情况下,爬虫程序会验证SSL证书的有效性,确保与服务器的安全连接。但有时候,我们可能希望忽略这些错误,继续...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值