THC-SSL-DOS - ддос-атаки на сайты поддерживающие SSL соединение.

Тема в разделе "Ддос-атаки", создана пользователем Devider, 15 авг 2013.

  1. В последнее время внимание исследователей все чаще привлекают возможности проведения эффективных DDoS-атак с использованием минимальных усилий со стороны атакующего, т.е. без применения крупных ботнетов. Это означает переход от традиционных DDoS-атак с использованием большого потока трафика к атакам, которые приводят к потреблению значительных ресурсов на стороне атакуемого сервера. Описанный ниже тип атаки хорошо вписывается в эту модель.

    В октябре группа немецких исследователей The Hacker's Choice выпустила новое proof-of-concept ПО для совершения DoS-атаки на веб-сервер, используя особенность протокола SSL. Инструмент под названием THC-SSL-DOS позволяет одному компьютеру сокрушить сервер средней конфигурации, если тот поддерживает повторное подтверждение SSL (SSL renegotiation). Повторное подтверждение позволяет веб-серверу создать новый секретный ключ поверх уже установленного SSL-соединения. Эта опция используется редко, однако по умолчанию включена в большинстве серверов. Установка безопасного соединения, а также выполнение повторного подтверждения SSL, требует в несколько раз больше ресурсов на стороне сервера, чем на стороне клиента. Эта асимметрия и используется в данной атаке: если клиент отправляет множество запросов на повторное подтверждение SSL, это истощает системные ресурсы сервера. Самый худший сценарий атаки подразумевает множество атакующих клиентов (SSL-DDoS).

    Стоит отметить, что не все веб-серверы подвержены данной атаке: некоторые не поддерживают повторное подтверждение SSL, инициированное клиентом, например веб-сервер IIS. Также в качестве противодействия серверы могут использовать SSL-ускоритель, освобождающий веб-сервер от избыточной вычислительной нагрузки.

    Некоторые разработчики ПО не видят серьезной проблемы в описанном методе атаки, и в случае если невозможно совсем отключить опцию повторного подтверждения SSL, рекомендуют устанавливать особые правила для разрыва соединения с клиентом, который выполняет операцию повторного подтверждения больше установленного количества раз в единицу времени.

    Авторы программы утверждают, что даже если сервер не поддерживает повторное подтверждение SSL, его можно атаковать с помощью модифицированной версии их программы. В этом случае устанавливается множество TCP-соединений для каждого нового рукопожатия SSL, но для эффективной атаки может понадобиться больше ботов.

    По словам авторов, выпуском данного инструмента они надеются привлечь внимание к «сомнительной безопасности SSL». В своем блоге они пишут: «Индустрия должна вмешаться и устранить проблему, чтобы граждане снова были в безопасности. SSL использует устаревший метод защиты личных данных, который является сложным, нецелесообразным и неподходящим для XXI века».
     
    15 авг 2013

Поделиться этой страницей