如何缓解基于 SSL 的 DDoS 攻击?

信息安全 tls ddos 云计算 威胁缓解
2021-08-14 13:12:00

您可能知道基于 SSL 的 DDoS 攻击的问题在于,如果没有解密流量的密钥,Prolexic、Akamai、Radware 等 DDoS 缓解服务提供商无法分析和过滤流量。

我最近与上述公司的员工(假设是 A 公司)进行了交谈,他们说唯一的方法是使用他们的产品之一,该产品位于您的网络中,其目的是通过 ssl 传递内容并发送所有以明文形式发送到防御解决方案(同一家公司,也是内部网络)的流量,然后将过滤后的“良好流量”提供给您的内部网络服务器。

其他公司的方法是将您的 ssl 密钥分发给他们,这样他们就可以解密和分析您的流量,并将干净的流量传递给您的服务器。

A公司表示,后者是绝对不行的,甚至不应该考虑。问题是,他们的解决方案只能过滤您的基础设施和他们的设备可以处理的流量,而云解决方案具有更高的容量。

所以问题是,是否有另一种减轻基于 SSL 的 DDoS 攻击的方法,分发你的 ssl 密钥真的那么糟糕,为什么?

我知道已经有一个关于“将密钥存储在云中 - 信任云提供商与您自己的笔记本电脑等”的问题。所以如果其中一些是重复的,我很抱歉,但那里的答案并没有真正回答我的问题。

4个回答

让我们澄清几个误解:

  • DDoS 缓解合作伙伴无法工作,除非他们可以解密流量

是的,他们可以——他们就是做不到,因为内容是不可见的,所以适用于流量的解决方案仍然有效。

  • 将钥匙交给第三者是一件坏事

不必要。事实上,这对于大型企业来说非常普遍——无论如何,这些企业的基础设施通常都由第三方管理。它所做的是要求您用合同控制替换您的一些技术控制,并且您对第三方承担更大的监督/审计责任。

减轻第 3 方滥用密钥或不保护密钥的威胁是一个直接评估然后提供解决方案的方法。

SSL DDoS 攻击应该分为两种——

  • 协议滥用攻击 - 此类攻击利用正在使用的协议,并可能在未完成安全连接(在我们的例子中为 SSL)的创建的情况下导致拒绝服务效果。一个很好的例子是 THC-SSL-DOS,它可以用于在同一连接中创建重复的“重新协商”,尽管从未完成安全通道的创建。
    协议攻击,就像上面提到的那样,不需要密钥。它们可以通过相对简单的保护措施来缓解,例如 IPS 签名、强制执行服务器设置,甚至是专用的 DDoS 设备 Pravail/Riorey/DefensePro/NSFocus/等。

  • SSL Traffic Floods - 这里我指的是通过创建的安全通道传递的数据。如果没有更多信息,这些宏伟的缓解设备无法区分有效连接与恶意连接。他们甚至不能发出网络挑战来尝试评估来源的合法性。因此,您要么一无所获,要么受到一些速率限制保护——容易出现错误操作。

那么,可以做些什么 - 一些设备可以提供证书或连接到同一家庭的另一个设备(DefensPro-Alteon / Pravail-VSS) - 姐妹产品打开加密,ddos设备做它做的事情和流被允许继续或被阻止。Radware 可以对初始加密请求发出质询(并且仅针对它)。Arbor 可以持续检查加密流量,并阻止可疑流量(无挑战)。只要您将这些机器放在自己的位置,风险就相当低。

一些云服务让您向他们提供您的密钥。不是很推荐的做法。但是,Prolexic 最近发布了它们可以使用临时短期密钥来实现相同的目标。考虑到处理安全(加密)流量时的所有其他限制和限制,这可能是一个足够的解决方案。

最后 - 提供你的钥匙是不是很糟糕?以非常基本的方式 - 您的密钥对于保护您的通信很重要。如果有人拥有您的密钥,她理论上可以“阅读”您的通信,或者在与他人通信时冒充您。但是,正如有人在我之前回答的那样,您可以练习在不同的地方共享或拥有您的密钥副本。取决于您的基础架构、谁管理您的网络等。最重要的是,它与信任有关。如果您信任云服务中的这种“昨天诞生”的 DDoS 保护 - 试试看,给他们您的密钥 :)。有些公司值得信赖,并为遵守所有监管要求付出了很多努力。它不提供 100% 的保险,但坦率地说,什么都不提供。

所有供应商都会给您相同的答案:您需要将密钥交给他们,以获得基于云的安全产品,或者他们提供的位于您网络中的盒子。无论哪种方式,您都无法完全减轻拥有密钥的威胁。

另一种方法是通过以下方式减轻单个攻击带来的威胁:

  • 使您的系统和应用程序保持最新:操作系统和软件更新消除了许多以前严重的 ddos​​ 攻击
  • 修改您的配置:您通常可以调整操作系统和应用程序,使其更具弹性
  • 卸载 SSL 计算:该领域有多种解决方案,通常负载平衡器具有可以完成工作的加密引擎

您真正需要做的是执行(或让某人执行)威胁分析以找出您最担心的问题,然后寻找解决方案。供应商解决方案可能是您前进的最佳方式,或者您可以使用战术、零成本或低成本解决方案做得很好。

伊奇洛夫的回答更为相关。

两种不易受攻击的 SSL 攻击

  1. 发送垃圾数​​据代替 pre-master secret(SSL 握手洪水)
  2. 不断地从握手中重新协商每个主密钥

希望伊奇洛夫的解释足够

减轻:

  • 客户端难题可以帮助缓解 DDoS 攻击。可以为协议开发客户端拼图机制。它基于工作量证明系统。对于 SSL,IETF 草案可在 http://www.ietf.org/id/draft-nygren-tls-client-puzzles-00.txt 获得。Client-Puzzle 机制是一种基于意图的安全机制,它不仅仅是消除恶意客户端,但增加了攻击者的成本。此外,这些机制更有效地对抗基于签名的缓解,后者采用具有大量规则的 IDS/IPS 系统。

  • 另一种方法是将模指数的计算外包,这是一种资源密集型操作。部分计算可以外包给守护程序系统。否则,可以使用带有加密芯片的系统。外包可以提高服务器的性能,但不能消除恶意客户端。

我已经开发了客户端拼图机制来使用 HTTP。我还计划为 SSL 开发。希望,您可能会觉得这篇文章很有趣。 https://blog.cloudflare.com/keyless-ssl-the-nitty-gritty-technical-details/

其它你可能感兴趣的问题
上一篇Ubuntu Server 有“电话回家”功能吗? 下一篇如何在 Iphone 上跟踪欺骗性短信