SSLフラッド攻撃または再ネゴシエーション攻撃は、 サービス拒否 (DoS) 安全な SSL/TLS 接続を確立する際にクライアントとサーバー間の計算の非対称性を悪用する攻撃。SSL (Secure Sockets Layer) と TLS (Transport Layer Security) は、コンピュータ ネットワーク上で安全な通信を提供するために設計された暗号化プロトコルで、通常はインターネット経由で送信されるデータのセキュリティ保護に使用されます。
一般的な SSL/TLS ハンドシェイクでは、クライアントとサーバーは一連のメッセージを交換して安全な接続を確立します。このプロセスには、特にサーバーにとって計算負荷の高い暗号化操作が含まれます。SSL フラッド攻撃では、短時間に大量の SSL ハンドシェイク要求がサーバーに送信され、サーバーの処理能力が圧倒され、正当な要求に応答しなくなる可能性があります。
再ネゴシエーション攻撃は SSL フラッド攻撃の変種であり、攻撃者はサーバーとの安全な接続を確立し、接続パラメータの再ネゴシエーションを繰り返し要求します。この再ネゴシエーション プロセスはサーバーにとって計算コストも高く、これを繰り返し実行することで、攻撃者はサーバーのリソースを大量に消費する可能性があります。
SSL フラッド攻撃と再ネゴシエーション攻撃はどちらも、SSL/TLS 接続の開始と再ネゴシエーションがクライアントにとっては比較的簡単なタスクである一方、サーバー側ではかなりの計算能力を必要とするという事実を悪用します。この非対称のワークロードを悪用すると、DoS 状態が作り出され、攻撃によって過剰な負荷が発生して正当なユーザーがサーバーのリソースにアクセスできなくなります。
SSL フラッド攻撃や再ネゴシエーション攻撃のリスクを軽減するために、サーバー管理者はレート制限を実装して、一定期間内に許可される新規接続や再ネゴシエーションの数を制限することができます。さらに、SSL/TLS オフロード専用のハードウェアまたはソフトウェア ソリューションを使用すると、暗号化操作をより効率的に処理して、サーバーの計算負荷を軽減できます。