SSL洪水攻击是DDoS攻击的最常见的方式之一
这些天,我们总是会在一些新闻报道中看到DDoS攻击的身影。我们之前已经深度剖析了DDoS攻击,但是对于刚刚加入到我们的行列中的人来说,分布式拒绝服务(DDoS)攻击指多个系统联合进行攻击,从而使目标机器停止提供服务或资源访问。大致来说,就是让多台电脑向一台服务器发送大量的流量,直到该服务器崩溃掉。SSL洪水攻击就是这样一种攻击。
但在我们开始讨论什么是SSL洪水攻击前,我们首先可能需要掌握一些其他知识,也就是第一层连接的传输控制协议(TCP)。我们不会深入讨论技术方面的东西,但TCP洪水攻击多年来一直存在,并且由于检测和减缓DDoS攻击是十分被动的这一事实,很有可能会持续存在。当你意识到你遭受了DDoS攻击的时候,你很有可能会看到这样的画面:
尽管如此,在检测TCP洪水攻击的能力方面,供应商们变得越来越高明了。反过来——毕竟,这是一场猫和老鼠的游戏——DDoS攻击者们也变的越来越精明了,他们开始攻击其他层。
也就是,SSL/TLS层。
SSL洪水攻击或SSL重连接攻击以服务器的处理能力为攻击目标,而在服务器端协商建立一个安全的TLS连接时,该处理能力是必要的。SSL洪水攻击要么会发送大量的垃圾数据给服务器,要么会持续不断地要求重新建立连接,从而超限占用服务器资源,使服务器无法正常和外界通讯。
PushDo僵尸网络就是众多例子中的其中一个。它以SSL/TLS握手为目标,试图利用垃圾数据淹没SSL服务器从而使之超负荷工作。由于建立SSL/TLS协议的本质,当大量的请求淹没服务器时,计算开销是十分大的。
SSL洪水攻击的另一个普遍的、以SSL握手为攻击目标的例子是THC-SSL-DOS工具,攻击者最初将该工具作为一个“bug”置于SSL协议中。THC-SSL-DOS工具的攻击手段是重新协商连接所使用的加密手段。一旦连接成功,该工具就会与服务器重新协商,要求使用一个新的加密方法,该加密方法会要求服务器再次处理请求。
F5发现了一个办法能够破解第二类攻击,即忽略在给定时间段的一定数量的重新协商请求。这种办法还有另外一种好处:使攻击者认为攻击正在进行,而实际上这些请求都被忽略掉了。
尽管我们只讨论了两个主要的针对SSL的洪水攻击,但每天还有很多此类的攻击有待发现。不幸的是,尽管互联网日新月异,但设备和软件能与DDoS攻击进行抗衡的力量有限。每天,即使是配备了最新和最好的设备和软件的主要的供应商也会成为DDoS攻击的受害者。
最好的办法是准备减弱攻击,制定出一个能在数分钟内启动起来的行动计划,而不是等待攻击自己停下来。
