SSL 洪水攻击或重新协商攻击是一种 拒绝服务 (DoS) 在建立安全 SSL/TLS 连接期间,利用客户端和服务器之间的计算不对称性进行攻击。SSL(安全套接字层)和 TLS(传输层安全性)是加密协议,旨在通过计算机网络提供安全通信,通常用于保护通过互联网传输的数据。
在典型的 SSL/TLS 握手中,客户端和服务器会交换一系列消息以建立安全连接。此过程涉及计算密集型的加密操作,尤其是对于服务器而言。SSL 洪水攻击涉及在短时间内向服务器发送大量 SSL 握手请求,从而压垮服务器的处理能力,并可能导致其无法响应合法请求。
重新协商攻击是 SSL 洪水攻击的一种变体,攻击者与服务器建立安全连接,然后反复请求重新协商连接参数。此重新协商过程对服务器来说也需要耗费大量计算资源,通过反复发起此过程,攻击者可以消耗大量服务器资源。
SSL 洪水攻击和重新协商攻击都利用了这样一个事实:发起和重新协商 SSL/TLS 连接对于客户端来说是相对简单的任务,但需要服务器端拥有相当多的计算能力。这种不对称的工作负载可用于创建 DoS 条件,其中合法用户由于攻击产生的过大负载而无法访问服务器的资源。
为了降低 SSL 洪水攻击和重新协商攻击的风险,服务器管理员可以实施速率限制,以限制给定时间范围内允许的新连接或重新协商的数量。此外,使用专门的硬件或软件解决方案进行 SSL/TLS 卸载可以通过更有效地处理加密操作来帮助减轻服务器的计算负担。