相信不少人曾遇到过或是听说过DDOS攻击，分布式拒绝服务（DDoS）攻击指多个系统联合进行攻击，从而使目标机器停止提供服务或资源访问。大致来说，就是让多台电脑向一台服务器发送大量的流量，直到该服务器崩溃掉。TCP洪水攻击多年来一直存在，并且由于检测和减缓DDoS攻击是十分被动的这一事实，很有可能会持续存在。当意识到遭受了DDoS攻击的时候，很有可能会看到这样的画面：

尽管如此，在防护TCP洪水攻击的能力方面，网络安全服务商们变得越来越高明了。但同时随着技术发展，DDoS攻击者们也变的越来越精明了，他们开始研究攻击其他层。

也就是，SSL/TLS层。

今天，德迅云安全带大家了解这一种典型的DDOS攻击类型——SSL洪水攻击，来了解下什么是SSL洪水攻击以及它们是如何工作的，以及该如何保护我们的Web应用程序免受这种日益严重的威胁的一些安全方案。

什么是SSL洪水攻击？

SSL洪水攻击，也被称为TLS洪水攻击或SSL重连接攻击，是一种网络安全威胁。以服务器的处理能力为攻击目标，它利用在服务器端协商TLS安全连接时所需的处理能力，在服务器端协商建立一个安全的TLS连接时，通过向服务器发送大量的垃圾数据或不断地要求重新协商连接，使服务器的资源超出限制并脱机。这种攻击可以导致服务器过载，无法处理正常的连接请求，进而影响到正常的业务运行。

PushDo僵尸网络就是其中的一个例子。它以SSL/TLS握手为目标，利用推送服务向受害者发送大量请求，导致服务器过载和崩溃。

SSL洪水攻击的另一个普遍的、以SSL握手为攻击目标的例子是THC-SSL-DOS工具，一款针对SSL/TLS协议的压力测试工具，旨在通过模拟大量SSL/TLS连接和重新协商过程来测试服务器的性能和安全性。

而攻击者最初将该工具作为一个“bug”置于SSL协议中。利用SSL/TLS协议中重新协商过程的特性，通过快速建立多个SSL/TLS连接并进行大量的重新协商操作，一旦连接成功，该工具就会与服务器重新协商，要求使用一个新的加密方法，该加密方法会要求服务器再次处理请求，通过这样大量的操作以消耗服务器的CPU资源，这种攻击方式对于开启了重新协商功能的服务器尤为有效，因为重新协商过程需要服务器进行额外的计算和处理。

SSL洪水攻击带来的风险

根据最近的一份全球威胁分析报告，网络攻击的频率正在不断增加，但攻击规模在不断缩小。攻击者使用较小规模的攻击，并将其与其他攻击媒介相结合，以最大限度地发挥其影响，以下是TLS流量攻击背后可能隐藏的一些额外潜在风险：

恶意软件：黑客可能会使用SSL加密来隐藏恶意软件流量，从而使安全措施更难以检测和阻止它。

数据盗窃：黑客可能会使用TLS窃取通过互联网传输的数据，这可能包括敏感信息，例如登录凭据、财务信息和个人数据。

中间人 (MitM) 攻击：TLS旨在防止MitM攻击，但它并非万无一失，如果攻击者可以拦截TLS流量，他们可能能够解密并读取数据，从而窃取敏感信息或操纵通信。

检测和缓解加密洪水攻击时面临的挑战

由于多种原因，检测和缓解加密洪水攻击可能具有一定难度。最主要的难点在于：

攻击识别难度高

SSL加密洪水攻击往往隐藏在正常的SSL/TLS通信流量中，这使得准确识别攻击变得困难。攻击者可能会伪装成合法的用户或系统，通过发送大量的加密请求来消耗服务器的资源。因此，需要能够区分正常流量和异常流量，这需要强大的安全审计和监控能力。

资源的巨大消耗

在遭受SSL加密洪水攻击时，服务器的性能可能会受到严重影响。大量的加密请求会消耗服务器的CPU、内存和网络资源，导致正常的服务请求无法得到及时处理。因此，需要优化系统的性能，提高处理请求的能力，以应对潜在的攻击。

技术更新快速

SSL/TLS协议和相关技术不断更新，这要求安全团队必须保持对最新技术和漏洞的了解。然而，由于技术和资源的限制，很多企业可能无法及时跟进这些更新，从而增加了遭受攻击的风险。

跨层防御的复杂性

SSL加密洪水攻击可能涉及多个网络层次和应用层次。因此，需要构建跨层的防御体系，包括网络层、传输层和应用层等多个方面。这要求安全团队具备全面的安全知识和经验，能够协调各个层次的安全措施，形成有效的防御体系。

用户隐私保护

在检测和缓解SSL加密洪水攻击时，需要避免侵犯用户的隐私。加密通信的目的是保护用户的敏感信息，因此在检测和防御过程中必须确保用户数据的保密性和完整性。

成本问题

检测和缓解加密洪水攻击的支出成本，尤其是在客户部署网络安全解决方案的时候，企业需要投资先进的安全解决方案和基础设施来防范这些攻击，需要额外增加企业成本。

针对SL洪水攻击，有哪些可能的解决方案

我们在简单了解SSL洪水攻击后，下面几点是德迅云安全关于处理SSL加密洪水攻击的一些建议方案：

优化服务器配置

通过调整服务器的配置参数，如增加缓存大小、优化连接管理等，可以提高服务器处理大量连接请求的能力，从而降低TLS洪水攻击的影响。

限制重新协商频率

一种有效的方法是在给定的时间范围内忽略任何需要重新协商的连接。这种方法不仅可以降低服务器的负担，还可以欺骗攻击者，让他以为攻击正在发挥作用，但其实这些请求都被忽略了。

零解密解决方案

是一种基于机器学习 (ML) 的行为机制，无需解密即可检测和缓解加密洪水，这是一项关键功能，特别是对于加密的CPS和RPS洪水。

部分解密解决方案

旨在通过最小化延迟来优化用户体验，借助这项创新技术，可以在检测到攻击后并且仅在可疑会话上解密流量，对合法流量没有任何影响。检测后，最有效的方法是仅解密“第一个HTTPS请求”并验证源，您可以解密可疑会话并使用传统保护措施减轻攻击。

限制并发连接数：通过设置服务器上的并发连接数限制，可以防止攻击者通过创建大量的并发连接来耗尽服务器资源。这可以确保服务器在处理正常连接时仍有足够的资源可用。

加强身份验证和访问控制：实施严格的身份验证机制，确保只有合法的用户和设备能够访问服务器。同时，加强访问控制策略，限制对敏感数据和关键系统的访问权限。

记录和监控SSL/TLS流量：对SSL/TLS流量进行详细的记录和监控，以便及时发现异常流量模式并进行调查。这有助于识别潜在的攻击行为并采取相应的防御措施。

升级SSL/TLS协议和加密算法：保持SSL/TLS协议和加密算法的更新，以修复已知的安全漏洞并增强协议的安全性。及时应用最新的安全补丁和更新，可以降低遭受攻击的风险。

总结

虽然简单的了解了SSL洪水攻击，但随着互联网日新月异，技术的更新发展，攻击技术也不断更新，网络安全风险还会不断威胁到人们的安全，随时都可能会成为DDoS攻击的受害者。

面对不断出现的网络攻击，最好的办法是提前预防，计划部署好安全解决方案，而不是等待攻击来临再寻求处理方案，或是等着攻击自己停下来。