Вы наверняка знаете о распределенных атаках типа “отказ в обслуживании” (DDoS), в результате которых целевой сервер или сеть наводняются огромным трафиком из множества источников, делая их недоступными для законных пользователей.
Но задумывались ли Вы об особенностях атаки SSL flood? Эта кибер-атака манипулирует протоколами SSL (Secure Sockets Layer) и TLS (Transport Layer Security) – стандартными мерами защиты для установления зашифрованных соединений между веб-сервером и браузером.
Наводнив сервер SSL/TLS системы запросами на сеанс, злоумышленник может исчерпать ресурсы сервера и вызвать отказ в обслуживании. Это сложный, коварный тип атаки. Вопрос в том, как Вы можете предотвратить это? Давайте узнаем ответ вместе.
Оглавление
- Что такое атака SSL Flood?
- Как работают атаки SSL Flood?
- Типы атак SSL Flood
- Как защититься от атак SSL Flood?
Что такое атака SSL Flood?
Атака SSL flood Attack, часто встречающаяся в сетевой безопасности, – это тип DDoS-атаки, при которой огромное количество запросов SSL handshake перегружает ресурсы сервера, делая его недоступным для пользователей.
Теперь Вы можете задаться вопросом, что такое рукопожатие SSL? Это протокол, используемый для установления безопасности в сетевом соединении. Хакеры используют это рукопожатие, чтобы исчерпать ресурсы сервера. Вот почему атака SSL/TLS flood также известна как атака на исчерпание SSL.
Он нацелен, в частности, на протоколы SSL/TLS, которые создают защищенные соединения между клиентами и серверами. В результате злоумышленники препятствуют способности сервера отвечать на честные запросы.
Такая атака может нанести огромный ущерб. Он не только способен перегрузить сервер, но и разрушить его способность защищать соединения. В мире, который все больше зависит от онлайновых транзакций, атака SSL-флуда может поставить под угрозу конфиденциальные данные.
Как работают атаки SSL Flood?
Давайте разберем классическую атаку SSL flood шаг за шагом:
- Инициация: Атакующий посылает серверу начальное сообщение “hello”, инициируя процесс SSL handshake.
- Начало рукопожатия: Получив сообщение “hello”, сервер начинает рукопожатие SSL, генерируя пару открытый/закрытый ключ и отправляя обратно сертификат.
- Выполнение атаки: Вместо того чтобы завершить рукопожатие, злоумышленник постоянно посылает новые сообщения ‘hello’, не продвигаясь дальше в процессе рукопожатия.
- Истощение ресурсов: Каждое новое сообщение “hello” заставляет сервер выделять ресурсы для нового рукопожатия SSL. Поскольку злоумышленник не завершает рукопожатие, эти ресурсы остаются выделенными и неиспользованными.
- Повторение: Атакующий быстро повторяет этот процесс, перегружая сервер многочисленными незавершенными SSL-рукопожатиями.
- Исчерпание ресурсов: Постоянный приток незавершенных SSL-запросов истощает критически важные ресурсы сервера, такие как процессор и память.
- Перебои в обслуживании: Когда ресурсы сервера истощены, он с трудом справляется с легитимными запросами, что приводит к сбоям в работе, замедлению работы или полному отказу системы.
Типы атак SSL Flood
Теперь Вы знакомы с тем, как действуют атаки SSL flood, поэтому давайте рассмотрим различные их типы. В частности, мы рассмотрим ботнет PushDo и атаки THC-SSL-DoS – обе печально известные атаки SSL exhaustion.
Атака ботнета PushDo
Ботнет PushDo, известный как PushBot или Cutwail, впервые появился примерно в 2007 году. В основном, она действует путем заражения компьютеров вредоносным ПО, превращая их в ботов под контролем центрального командно-контрольного (C&C) сервера. Хакеры используют ботнет для различных вредоносных действий, включая спам-кампании по электронной почте, DDoS-атаки и SSL-атаки.
PushDo использует технику, называемую fast-flux DNS, для быстрой смены IP-адресов, связанных с его командными и контрольными серверами. Эта техника динамического DNS усложняет задачу защитников по отслеживанию и блокированию инфраструктуры ботнета, поскольку IP-адреса постоянно меняются, создавая впечатление, что ботнет перемещается по Интернету.
Он генерирует фиктивный или ложный трафик, который маскирует его злонамеренную деятельность. Эта тактика усложняет процесс обнаружения, поскольку наряду с атакой SSL flood на целевой сервер подается трафик, выглядящий как легитимный, что затрудняет защитникам различение легитимного и враждебного трафика.
THC-SSL-DoS-атаки
Атака THC-SSL-DoS, разработанная хакерской группой “The Hacker’s Choice”, представляет собой мощную SSL-атаку, направленную также на механизм рукопожатия SSL. Он заваливает серверы шквалом запросов на рукопожатие SSL, что в конечном итоге приводит к отказу в обслуживании. Атака использует инструмент THC-SSL-DoS, эксплуатирующий уязвимости в протоколах SSL/TLS.
Создавая множество полуоткрытых SSL-соединений, инструмент THC-SSL-DoS уничтожает серверы, потребляя значительную вычислительную мощность без завершения процесса рукопожатия.
По мере накопления этих полуоткрытых соединений они расходуют ресурсы процессора и памяти сервера. В конце концов, сервер достигает своей мощности для обработки новых соединений, в результате чего пользователи не могут установить SSL-соединение из-за исчерпания ресурсов.
Как защититься от атак SSL Flood?
Внедрите надежную стратегию безопасности, чтобы защитить Вашу систему от атак SSL flood. Во-первых, регулярно обновляйте библиотеки SSL/TLS и серверное программное обеспечение, чтобы убедиться, что они не подвержены известным уязвимостям. Также важно настроить Ваши серверы на правильную обработку повторных переговоров SSL.
Для дополнительного уровня защиты рассмотрите возможность установки устройства разгрузки SSL. Этот инструмент перехватывает входящие SSL-запросы, разгружая процесс SSL handshake от Вашего сервера и уменьшая последствия атаки.
Ограничение скорости на Вашем сервере – еще одна отличная профилактическая мера. Это поможет контролировать количество SSL-штрихов, которые Ваш сервер должен обработать за определенный промежуток времени, предотвращая перегрузку сервера потоком запросов.
И наконец, привлеките службу защиты от DDoS-атак. Эти службы могут обнаруживать и блокировать ненормальный трафик до того, как он достигнет Вашей системы.
Нижняя линия
Атаки SSL flood направлены на перегрузку ресурсов сервера, что приводит к отказу в обслуживании, а не непосредственно к утечке данных. Эти атаки истощают ресурсы сервера, затрудняя или делая невозможным доступ пользователей к сервисам.
Однако в некоторых случаях длительные инциденты с отказом в обслуживании могут косвенно способствовать нарушению безопасности, если они препятствуют своевременному реагированию на другие угрозы безопасности или делают системы уязвимыми из-за истощения ресурсов.
Поэтому, хотя основной проблемой SSL flood Attacks является истощение сервера и отказ в обслуживании, при отсутствии адекватных мер могут возникнуть косвенные последствия для безопасности данных.
Сэкономьте 10% на SSL-сертификатах при заказе сегодня!
Быстрая выдача, надежное шифрование, 99,99% доверия к браузеру, специализированная поддержка и 25-дневная гарантия возврата денег. Код купона: SAVE10