针对SSL落DDoS高防级攻击-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > 行业资讯 > 针对SSL落DDoS高防级攻击

针对SSL落DDoS高防级攻击

小墨安全管家 2020-11-22 18:57 行业资讯 89 ℃
DDoS防御

针对SSL落级攻击

在那个由五部分组成的系列博客中,我重点介绍了利用SSL/TLS机制中的各种特性的一些攻击。我们基本讨论了普通的错误实践、错误的实现、预言和重复的纯文本。今天我们将讨论MITM落级攻击。怪胎这是针对如此一具事实:客户机和服务器的某些重新导出级别的加密。这仅仅意味着用不太强且容易解密的密码加密通信。默认事情下,扫瞄器不使用这些密码,但商议是纯文本的,如此攻击者就能够看到挑选了哪些密码。由于此漏洞,中间人攻击者能够劫持商议过程,并告诉易受攻击的客户端使用导出级RSA(即512位密钥,虽然看起来是那么,但并不强)来加密所有流量,直到确定对称密钥为止。请记住,SSL使用公钥(非对称)加密开始,确定一具隐秘,接着使用那个隐秘加密进一步的通信量(对称)。由于公钥交换使用的是导出级RSA,攻击者能够破解那个咨询题(因子分解咨询题-不是暴力),并检索正在使用的解密密钥。那个地点有一篇简短的概述文章和一篇很好的文章,其中有更多的细节。一旦检索到该密钥,攻击者就能够解密经过对称密钥的通信量,并解密客户端和服务器之间该会话的所有内容。举行"突破"是一项耗时的工作,它实际上是在解决RSA的可治理数字。假如每次SSL会话都必须如此做,这么它仍然是一具bug,但不太有用。然而,服务器在启动和关闭之前都会重用一具导出级RSA密钥。所以,DDoS防御,假如攻击者成功地获得了一具解密密钥,他们就能够获得潜在的捕获流量,DDoS防御,并在多个会话中成功地对其举行解密。解决办法是确保没有人使用出口级密码。堵车这与FREAK类似,因为它的目标是相同的事实,即客户机和服务器都支持出口级Diffie-Hellman(DH)密码。可是,它攻击的是另一种公钥加密算法Diffie-Hellman,而不是RSA。DH是安全的,因为它特别难解决离散对数咨询题,CC防御,也特别难从一开始就得到初始值(指数)。假如这些数字能够预测或得到,这么DH是可破的。但其实,这是特别难做到的。只是,发觉"木塞"的研究人员做了一些有创意的情况。为了理解,让我们用一具比喻。假设一具25个字符的密码存储为单向散列。假如你想用蛮力破解散列,这将是很艰难的,你将需要大量的力量和时刻。然而假如你建立了一具叫做彩虹表的东西(离线),它对任何25个字符长的密码都有一具大概的散列值,情况就会改变。下一次当你得到一具密码散列时,你要做的算是在表中寻找25个字符的密码。回到迪菲·赫尔曼那儿。研究人员差不多上预先计罢了512位素数的离散对数。也算是讲,下一次他们看到DH与512位素数一起使用时,他们就会懂使用了啥指数,从而找出了内部使用的实际对称密钥。事实证明,特别多服务器使用彻底相同的质数。于是,DDoS防御,假如你只解决一次,你就有大概破坏到那些服务器的所有连接。此外,服务器仍然支持出口级DH密码。这一事实和彩虹表魔法正是LogJam的缘由。中间人攻击者会落级连接,强制连接使用512位DH,接着使用彩虹表寻找隐秘。减轻的想法是思量服务器上使用Diffie-Hellman的所有大概的服务。一旦确定,确保它们都正确配置——即禁用导出级DH密码套件,并确保2048位素数用于计算共享机密。在客户端,保持更新,使用更新的扫瞄器,并希翼扫瞄器拒绝使用导出级DH的连接。


DDoS防御

当前位置:主页 > 行业资讯 > 针对SSL落DDoS高防级攻击

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119