SSL/TLS拒绝服务攻击
对象:提供SSL安全连接的网站或服务 【占本机流量不大】
thc-ssl-dos
原理:SSL协商加密对性能开销增加,大量握手请求会导致拒绝服务。
利用SSL secure Renegotiation特性,在单一TCP连接中生成数千个SSL重连接请求,造成服务器资源过载
与流量式拒绝服务攻击不同,thc-ssl-dos可以利用dsl线路(私人家用)打垮30G带宽的服务器
一般性能的服务器平均可以处理300次/秒SSL握手请求
对SMTPS、POP3S等服务同样有效
thc-ssl-dos <des> <port> --accept 【--accept:强制添加的参数】
对策
禁用SSL-Renegotiation、使用SSL Accelerator
【通过修改thc-ssl-dos代码,可以绕过以上对策】