研究人员发布了一个***工具,任何人都可以把提供SSL安全连接的网站***下线,新的方法被称为SSL拒绝服务***(SSL DOS)。德国***组织“The Hacker’s Choice”发布了THC SSL DOS,利用SSL中的已知弱点,迅速消耗服务器资源,与传统DDoS工具不同的是,它不需要任何带宽,只需要一台执行单一***的电脑。

  漏洞存在于协议的renegotiation过程中,renegotiation被用于浏览器到服务器之间的验证。网站可以在不启用renegotiation进程的情况下使用HTTPS,但研究人员指出很多网站仍然默认启用renegotiation。



    THC SSL DOS是一種利用SSL機制,在建立安全連線交談(Handshake)期間的快速資源消耗特性,所設計的攻擊工具,而最近公開的一項新攻擊工具繼續利用此種資源消耗的特性,對目標網站展開DoS攻擊。

最近的攻擊趨勢傾向於以最小的心力達成最大成效,這意謂著捨棄傳統上以流量癱瘓網站的阻斷服務攻擊模式,轉而聚焦於快速的資源消耗。二者有著相同的終極目標:癱瘓基礎設施,不論其為伺服器或路由器。

    最近的SSL-based攻擊屬於現代化的拒絕服務攻擊類別,因為它並非利用流量癱瘓網站,而是採取消耗伺服器資源的方式,導致其沒有容量和能力以回應合法請求。

如何運作?

    建立一個安全SSL連線時,伺服器需要耗用15倍於用戶端的處理能力。THC SSL DOS利用此種不對稱特性,灌爆伺服器以致無法在Internet提供服務。

    這問題影響今天所有的SSL設施,廠商從2003年就注意到此一問題,而這個主題也已經過廣泛的討論。這種攻擊進一步利用SSL的安全再協商(Renegotiate)功能,觸發透過單一TCP連接的數千個再協商程序。

    目前並沒有解決此種攻擊威脅的專門方法,常用的防護技術包括採用SSL加速器,亦即一種採用特殊硬體設計並具備逆向代理(Reverse-proxy)能力的裝置,用以改善SSL和相關加密功能的處理能力。現代化應用遞送控制器例如BIG-IP,其預設組態即包括此種硬體,並且利用效能與容量強化能力,以減輕支援SSL通訊的營運成本。

    BIG-IP實際上有一些方法可以舒緩此種攻擊的潛在衝擊;首先而且最重要的是它為SSL / RSA提供較高的連接與處理容量,BIG-IP可以比典型的Web伺服器管理更多連接,不論安全與否,因此依照部署BIG-IP的硬體平台特性,或許只需要在攻擊路徑上部署一個BIG-IP就可以舒緩威脅。

如果不是如此,或者如果組織希望採取較主動的舒緩措施,那麼還有2種選擇:

    1. SSL再協商是此類攻擊的基礎,它讓惡意人士可以利用相對少數的用戶端迫使伺服器消耗更多資源,而這項再協商能力可以在BIG-IP v11和v10.2.3予以取消。這或許會妨礙一些應用和(或)用戶端,因此可以將它留做最後的手段,或者經審慎衡量風險後才部署這種組態。

    2. 利用F5的iRule設定當用戶端在60秒內嘗試超過5次再協商即予以中斷連接。David Holmes和iRule作者Jason Rahm指出:「透過中斷用戶端連線,這個iRule可以讓攻擊工具停擺一段長時間,完全瓦解攻擊。這應該也不會出現誤報情形,因為極少發生有效的連線在一分鐘內進行超過一次的再協商程序。

    或是也可以利用一個最佳化版的iRule,「The SSL Renegotation Attack is Back」,該版本使用正常的流量金鑰(而非隨機金鑰),增加一個日誌訊息並且最佳化記憶體消耗。

不論採用何種威脅舒緩技術,BIG-IP都能提供必要的作業安全,預防此種資源消耗攻擊,在它們侵入應用基礎設施之前即予以阻斷,以免造成負面的應用衝擊。

    作者簡介

    許卉嫻(Linda Hui),F5香港及台灣區董事總經理,負責發展F5在香港與台灣的應用傳送網路及數據解決方案業務,成功地拓展F5於金融界、政府機構、製造及電訊業的客源,擁有逾17年的資訊及電訊行業經驗。

http://news.networkmagazine.com.tw/forum/2012/12/17/45106/