遇到 SSL/TLS 层的攻击，有什么办法？

相信不少人曾遇到过或是听说过 DDOS 攻击，分布式拒绝服务（DDoS）攻击指多个系统联合进行攻击，从而使目标机器停止提供服务或资源访问。大致来说，就是让多台电脑向一台服务器发送大量的流量，直到该服务器崩溃掉。TCP 洪水攻击多年来一直存在，并且由于检测和减缓 DDoS 攻击是十分被动的这一事实，很有可能会持续存在。当意识到遭受了 DDoS 攻击的时候，很有可能会看到这样的画面：

尽管如此，在防护 TCP 洪水攻击的能力方面，网络安全服务商们变得越来越高明了。但同时随着技术发展，DDoS 攻击者们也变的越来越精明了，他们开始研究攻击其他层---SSL/TLS 层。

今天，德迅云安全带大家了解这一种典型的 DDOS 攻击类型——SSL 洪水攻击，来了解下什么是 SSL 洪水攻击以及它们是如何工作的，以及该如何保护我们的 Web 应用程序免受这种日益严重的威胁的一些安全方案。

什么是 SSL 洪水攻击？

SSL 洪水攻击，也被称为 TLS 洪水攻击或 SSL 重连接攻击，是一种网络安全威胁。以服务器的处理能力为攻击目标，它利用在服务器端协商 TLS 安全连接时所需的处理能力，在服务器端协商建立一个安全的 TLS 连接时，通过向服务器发送大量的垃圾数据或不断地要求重新协商连接，使服务器的资源超出限制并脱机。这种攻击可以导致服务器过载，无法处理正常的连接请求，进而影响到正常的业务运行。

PushDo 僵尸网络就是其中的一个例子。它以 SSL/TLS 握手为目标，利用推送服务向受害者发送大量请求，导致服务器过载和崩溃。

另一个普遍的、以 SSL 握手为攻击目标的例子是 THC-SSL-DOS 工具，一款针对 SSL/TLS 协议的压力测试工具，旨在通过模拟大量 SSL/TLS 连接和重新协商过程来测试服务器的性能和安全性。

而攻击者最初将该工具作为一个“bug”置于 SSL 协议中。利用 SSL/TLS 协议中重新协商过程的特性，通过快速建立多个 SSL/TLS 连接并进行大量的重新协商操作，一旦连接成功，该工具就会与服务器重新协商，要求使用一个新的加密方法，该加密方法会要求服务器再次处理请求，通过这样大量的操作以消耗服务器的 CPU 资源。

这种攻击方式对于开启了重新协商功能的服务器尤为有效，因为重新协商过程需要服务器进行额外的计算和处理。

SSL 洪水攻击带来的风险

根据最近的一份全球威胁分析报告，网络攻击的频率正在不断增加，但攻击规模在不断缩小。攻击者使用较小规模的攻击，并将其与其他攻击媒介相结合，以最大限度地发挥其影响，以下是 TLS 流量攻击背后可能隐藏的一些额外潜在风险：

恶意软件：黑客可能会使用 SSL 加密来隐藏恶意软件流量，从而使安全措施更难以检测和阻止它。

数据盗窃：黑客可能会使用 TLS 窃取通过互联网传输的数据，这可能包括敏感信息，例如登录凭据、财务信息和个人数据。

中间人 (MitM) 攻击：TLS 旨在防止 MitM 攻击，但它并非万无一失，如果攻击者可以拦截 TLS 流量，他们可能能够解密并读取数据，从而窃取敏感信息或操纵通信。

检测和缓解加密洪水攻击时面临的挑战

由于多种原因，检测和缓解加密洪水攻击可能具有一定难度。最主要的难点在于：

攻击识别难度高

SSL 加密洪水攻击往往隐藏在正常的 SSL/TLS 通信流量中，这使得准确识别攻击变得困难。攻击者可能会伪装成合法的用户或系统，通过发送大量的加密请求来消耗服务器的资源。因此，需要能够区分正常流量和异常流量，这需要强大的安全审计和监控能力。

资源的巨大消耗

在遭受 SSL 加密洪水攻击时，服务器的性能可能会受到严重影响。大量的加密请求会消耗服务器的 CPU、内存和网络资源，导致正常的服务请求无法得到及时处理。因此，需要优化系统的性能，提高处理请求的能力，以应对潜在的攻击。

技术更新快速

SSL/TLS 协议和相关技术不断更新，这要求安全团队必须保持对最新技术和漏洞的了解。然而，由于技术和资源的限制，很多企业可能无法及时跟进这些更新，从而增加了遭受攻击的风险。

跨层防御的复杂性

SSL 加密洪水攻击可能涉及多个网络层次和应用层次。因此，需要构建跨层的防御体系，包括网络层、传输层和应用层等多个方面。这要求安全团队具备全面的安全知识和经验，能够协调各个层次的安全措施，形成有效的防御体系。

用户隐私保护

在检测和缓解 SSL 加密洪水攻击时，需要避免侵犯用户的隐私。加密通信的目的是保护用户的敏感信息，因此在检测和防御过程中必须确保用户数据的保密性和完整性。

成本问题

检测和缓解加密洪水攻击的支出成本，尤其是在客户部署网络安全解决方案的时候，企业需要投资先进的安全解决方案和基础设施来防范这些攻击，需要额外增加企业成本。

针对 SL 洪水攻击，有哪些可能的解决方案

我们在简单了解 SSL 洪水攻击后，下面几点是德迅云安全关于处理 SSL 加密洪水攻击的一些建议方案：

1、优化服务器配置

通过调整服务器的配置参数，如增加缓存大小、优化连接管理等，可以提高服务器处理大量连接请求的能力，从而降低 TLS 洪水攻击的影响。

2、限制重新协商频率

一种有效的方法是在给定的时间范围内忽略任何需要重新协商的连接。这种方法不仅可以降低服务器的负担，还可以欺骗攻击者，让他以为攻击正在发挥作用，但其实这些请求都被忽略了。

3、零解密解决方案

是一种基于机器学习 (ML) 的行为机制，无需解密即可检测和缓解加密洪水，这是一项关键功能，特别是对于加密的 CPS 和 RPS 洪水。

4、部分解密解决方案

旨在通过最小化延迟来优化用户体验，借助这项创新技术，可以在检测到攻击后并且仅在可疑会话上解密流量，对合法流量没有任何影响。检测后，最有效的方法是仅解密“第一个 HTTPS 请求”并验证源，可以解密可疑会话并使用传统保护措施减轻攻击。

5、限制并发连接数

通过设置服务器上的并发连接数限制，可以防止攻击者通过创建大量的并发连接来耗尽服务器资源。这可以确保服务器在处理正常连接时仍有足够的资源可用。

6、加强身份验证和访问控制

实施严格的身份验证机制，确保只有合法的用户和设备能够访问服务器。同时，加强访问控制策略，限制对敏感数据和关键系统的访问权限。

7、记录和监控 SSL/TLS 流量

对 SSL/TLS 流量进行详细的记录和监控，以便及时发现异常流量模式并进行调查。这有助于识别潜在的攻击行为并采取相应的防御措施。

8、升级 SSL/TLS 协议和加密算法

保持 SSL/TLS 协议和加密算法的更新，以修复已知的安全漏洞并增强协议的安全性。及时应用最新的安全补丁和更新，可以降低遭受攻击的风险。

总之，虽然简单的了解了 SSL 洪水攻击，但随着互联网日新月异，技术的更新发展，攻击技术也不断更新，网络安全风险还会不断威胁到人们的安全，我们随时都可能会成为 DDoS 攻击的受害者。

面对不断出现的网络攻击，最好的办法是跟像德迅云安全这样的网络安全服务商合作，做好提前预防工作，计划部署好安全解决方案，而不是等待攻击来临再寻求处理方案，或是等着攻击自己停下来。