着名的德国***组织"The Hacker's Choice"今日公布了一种可快速攻破SSL服务器的新型DoS工具,而***使用的平台却仅仅是一台普通PC.

新DoS工具现身! 单个PC可攻破SSL服务器

 

  据介绍,这种新型的DoS工具被称之为THC-SSL-DOS,它被设计用来提醒人们注意SSL中的漏洞,并敦促业界采取措施让SSL变得更安全。

 

  "几个月前我们就意识到SSL中存有漏洞,为此我们决定正式发布这种***工具,以激发起大家对该问题的重视。" 该***组织在一篇博客中如此写道。"业内应该及时采取措施弥补漏洞,让人们免受安全风险。SSL采用过时的方法来保护个人隐私信息,对于21世纪来说,这 未免过于复杂,而且也没有必要也不适合时代需求。"

 

  根据该组织的声明,只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器农场来说,则需要20台电脑和120Kbps 的网络连接即可实现。该***工具的一个最基本特点是,它仅需要对加密密钥进行重新请求--而加密密钥被用来在服务器端和客户端创建高达1000并行连接。

 

  因此,任何一台SSL服务器在这种工具面前都失去了免疫--包括Web服务器、电子邮件服务器等。

 

  另据悉,该工具可免费下载,不过仅面向Windows和Unix平台。

 

 

转自http://m114.org/%E7%A0%94%E7%A9%B6%E4%BA%BA%E5%91%98%E5%8F%91%E5%B8%83ssl-dos%E6%94%BB%E5%87%BB%E5%B7%A5%E5%85%B7/

研究人员发布了一个***工具,任何人都可以把提供SSL安全连接的网站***下线,新的方法被称为SSL拒绝服务***(SSL DOS)。 德国***组织“The Hacker’s Choice”发布了THC SSL DOS, 利用SSL中的已知弱点,迅速消耗服务器资源,与传统DDoS工具不同的是,它不需要任何带宽,只需一台执行单一***的电脑。
 
漏洞存在于协议的 renegotiation过程中,renegotiation被用于浏览器到服务器之间的验证。网站可以在不启用renegotiation进程的情况 下使用HTTPS,但研究人员指出很多网站仍然默认启用renegotiation。
 
可以***到 https/smtps/pops 等等 ,目前还没有比较好的解决方法
No real solutions exists. The following steps can mitigate (but not solve) the problem:
1. Disable SSL-Renegotiation
2. Invest into SSL Accelerator
 
***软件安装使用
wget http://www.thc.org/thc-ssl-dos/thc-ssl-dos-1.4.tar.gz
tar xf thc-ssl-dos-1.4.tar.gz
cd thc-ssl-dos-1.4
./configure && make
使用
src/thc-ssl-dos –accept 192.168.0.1 443
 
我测试了下,内网环境,10分钟 服务器https 服务器失出反应
 
下载地址:Windows Linux