THC-SSL-DOS
THC-SSL-DOS es una herramienta para comprobar el rendimiento de SSL.
El establecimiento de una conexión segura SSL requiere un procesamiento más 15xencender el servidor que en el cliente.
THC-SSL-DOS explota esta característica asimétrica por la sobrecarga de laservidor y lo derriba de Internet.
Este problema afecta a todas las implementaciones de SSL en la actualidad. Los vendedores son conscientesde este problema desde el año 2003 y el tema ha sido ampliamente discutido.
Este nuevo ataque explota la característica SSL segura Renegociaciónpara disparar miles de renegociaciones vía única conexión TCP.
Descargar:Ventanas binario: thc-ssl-dos-1.4-win-bin.zipFuente Unix: thc-ssl-dos-1.4.tar.gz
Use ". / Configure; make all install" para construir.
Uso:. / Thc-ssl-dos 127.3.133.7 443Apretones de manos 0 [0.00 h / s], 0 Conn, 0 ErrRenegociación de apoyo segura: síApretones de manos 0 [0.00 h / s], 97 Conn, 0 ErrApretones de manos 68 [67.39 h / s], 97 Conn, 0 ErrApretones de manos 148 [79.91 h / s], 97 Conn, 0 ErrApretones de manos 228 [80.32 h / s], 100 Conn, 0 ErrApretones de manos 308 [80.62 h / s], 100 Conn, 0 ErrApretones de manos 390 [81.10 h / s], 100 Conn, 0 ErrApretones de manos 470 [80.24 h / s], 100 Conn, 0 Err
Comparando DDoS contra inundaciones ataque SSL-Agotamiento:
Una inundación tradicional ataque DDoS no se puede montar desde una única conexión DSL.Esto es debido a que el ancho de banda de un servidor es muy superior a laancho de banda de una conexión DSL: Una conexión DSL no es un oponente igual adesafiar el ancho de banda de un servidor.
Esto se pone de cabeza para el THC-SSL-DOS: La capacidad de procesamiento paraSSL apretones de manos es muy superior en el lado del cliente: una computadora portátil en un DSLconexión puede desafiar a un servidor en un enlace 30Gbit.
DDoS tradicionales ataques basados en las inundaciones son subóptimas: Servidorespreparado para manejar gran cantidad de tráfico y los clientes están constantementeenviar peticiones al servidor, incluso cuando no está bajo ataque.
El protocolo de enlace SSL se realiza sólo al inicio de una sesión segura ysólo si la seguridad es necesaria. Servidores _no_ preparado para manejargran cantidad de protocolos de enlace SSL.
El peor ataque es un ataque Agotamiento SSL-montado demiles de clientes SSL (DDoS).
Consejos y trucos para whitehats
1. El servidor promedio puede hacer 300 apretones de manos por segundo. Esto requeriría
10-25% de la CPU ordenadores portátiles.2. Utilice varios hosts (SSL-DOS) si un acelerador SSL se utiliza.3. Sea inteligente en la adquisición de blanco: El puerto HTTPS (443) no es siempre el
mejor opción. Otros puertos habilitados para SSL es más probable que utilice una conexión SSL
Accelerator (como los POP3S, SMTPS, ... o el puerto base de datos segura).
Mediciones de contador:
No hay soluciones reales existe. Los siguientes pasos pueden reducir (pero no resolver)el problema:1. Desactivar SSL Renegociación2. Invertir en Acelerador SSL
Cualquiera de estas medidas se puede eludir mediante la modificaciónTHC-SSL-DOS. Una solución mejor es deseable. Alguien debería fijaresto.
Fuente:http://www.thc.org/thc-ssl-dos/
Traduccion: Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario