SSL - это метод шифрования, используемый во многих протоколах сетевого взаимодействия для повышения безопасности и решения проблем конфиденциальности. Поскольку все больше сервисов защищаются с помощью SSL, растет число атак на защищенные SSL сервисы. Некоторые из этих DDoS-атак на самом деле являются стандартными атаками на исчерпание состояния на основе флуда и TCP-соединений, которые уже много лет используются для нарушения работы.
SSL-атака направлена на протокол рукопожатия SSL либо путем отправки бесполезных данных на SSL-сервер, что приводит к проблемам с соединением у легитимных пользователей, либо путем злоупотребления самим протоколом рукопожатия SSL.
Существует множество известных и потенциальных DDoS-атак, которые используют рукопожатие SSL для истощения ресурсов сервера. Протокол SSL требует больших вычислительных затрат и создает дополнительную нагрузку на сервер для обработки мусорных данных в качестве легитимного рукопожатия.
Брандмауэры в этом случае не помогут, поскольку они обычно не способны отличить действительные пакеты рукопожатия SSL от недействительных. Только комплексная защита от DDoS-атак может помочь защитить от этих типов атак.
Одним из средств DDoS-атак на основе SSL является инструмент THC-SSL-DOS, выполняя обычное SSL-хендшейк, но затем немедленно запрашивает пересмотр метода шифрования. По завершении пересогласования он запрашивает еще одно пересогласование, и так далее.
Существует множество других потенциальных DDoS-атак, направленных на различные аспекты процесса согласования SSL, чтобы вызвать перегрузку сервера и отказ в обслуживании.
Атаки SSL/TLS Exhaustion DDoS представляют реальную опасность, поскольку один домашний компьютер может вывести из строя целое веб-приложение с SSL-шифрованием. Каждое рукопожатие SSL-сессии потребляет в 15 раз больше ресурсов со стороны сервера, чем со стороны клиента.
DDoS Academy