Saludos Mundo Libre.
He Aqui un exelente articulo que he leido en http://www.thc.org/ que expongo tal cual la traduccion del articulo.
2011-octubre-24 ACTUALIZACIÓN: SSL-DOS en libertad. Algunas organizaciones ya se enteró de este comunicado hace un tiempo y equivocadamente lo identificó como un error de SSL de renegociación. Esto no es cierto. La herramienta puede ser modificado para que funcione sin SSL de renegociación con sólo establecer una nueva conexión TCP para cada apretón de manos nuevas. 2011-octubre-24: Blog de Niza: http://thehackerschoice.wordpress.com/2011/10/24/thc-ssl-dos/
______________ ___ _________
\ __ ___ / | \ \ _ ___ \
| | ~ / \ / \ \ /
| | \ Y / \ \ ____
|____| \ ___|_ / \ ______ /
\ / \ /
http://www.thc.org
THC-SSL-DOS es una herramienta para comprobar el rendimiento de SSL.
El establecimiento de una conexión segura SSL requiere un procesamiento más 15x
poder en el servidor que en el cliente.
THC-SSL-DOS explota esta propiedad asimétrica por la sobrecarga del
servidor y lo derriba fuera de Internet.
Este problema afecta a todas las implementaciones de SSL en la actualidad. Los vendedores son conscientes de
de este problema desde el año 2003 y el tema ha sido ampliamente discutido.
Este nuevo ataque explota la característica SSL segura Renegociación
para provocar miles de renegociación a través de una única conexión TCP.
Descargar:
Binarios de Windows: El THC-ssl-dos-1.4-win-bin.zip
Fuente Unix: THC-ssl-dos-1.4.tar.gz
Use ". / Configure; make all install" para construir.
Uso:
. / Thc-ssl-dos 127.3.133.7 443
Apretones de manos 0 [0.00 h / s], 0 Conn, 0 error
Renegociación de apoyo seguro: si
Apretones de manos 0 [0.00 h / s], 97 Conn, 0 error
Apretones de manos 68 [67,39 h / s], 97 Conn, 0 error
Apretones de manos 148 [79,91 h / s], 97 Conn, 0 error
Apretones de manos 228 [80,32 h / s], 100 Conn, 0 error
Apretones de manos 308 [80,62 h / s], 100 Conn, 0 error
Apretones de manos 390 [81,10 h / s], 100 Conn, 0 error
Apretones de manos 470 [80,24 h / s], 100 Conn, 0 error
Comparando DDoS contra inundaciones ataque SSL-Agotamiento:
Una inundación tradicional ataque DDoS no se puede montar desde una única conexión ADSL.
Esto se debe a que el ancho de banda de un servidor es muy superior a la
ancho de banda de una conexión DSL: Una conexión DSL no es igual a un oponente
desafío del ancho de banda de un servidor.
Esto se pone de cabeza para el THC-SSL-DOS: La capacidad de procesamiento de
SSL apretones de manos es muy superior en el lado del cliente: Un ordenador portátil en una conexión DSL
conexión se puede desafiar a un servidor en un enlace de 30Gbit.
DDoS tradicionales ataques basados en las inundaciones son subóptimas: Los servidores son
preparado para manejar gran cantidad de tráfico y clientes están en constante
enviar peticiones al servidor, incluso cuando no está bajo ataque.
El apretón de manos SSL-sólo se realiza al inicio de una sesión segura y
sólo si la seguridad es necesaria. Los servidores están preparados para manejar _no_
gran cantidad de apretones de manos SSL.
En el peor de ataque es un ataque de agotamiento SSL montadas a partir de
miles de clientes (SSL-DDoS).
Consejos y trucos para whitehats
1. El servidor de medios puede hacer 300 apretones de manos por segundo. Para ello sería necesario
10-25% de la CPU ordenadores portátiles.
2. El uso de múltiples hosts (SSL-DOS) si un acelerador SSL se utiliza.
3. Tenga cuidado en la adquisición de blanco: El puerto HTTPS (443) no es siempre el
mejor opción. Otros puertos con SSL es más probable que utilice un certificado SSL
Acelerador (como el POP3S, SMTPS, ... o el puerto base de datos segura).
Mediciones del contador:
No hay soluciones reales existen. Los siguientes pasos pueden reducir (pero no resolver)
el problema:
1. Desactivar SSL-Renegociación
2. Invertir en acelerador SSL
Cualquiera de estas medidas se pueden eludir mediante la modificación de
THC-SSL-DOS. Una mejor solución es deseable. Alguien debería fijar
este.
Podremos Descargar el programa desde la web.
Fuente: http://www.thc.org/
Traduccion: Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario