DoS на SSL
dl // 26.10.11 17:15
Группа The Hackers Choice опубликовала инструмент, предназначенный для проведения атак на SSL-серверы.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2011/10/10.html]
Судя по всему, используется классическая схема исчерпания ресурсов, при которой сервер бомбится незавершенными хэндшейками. Утверждается, что с учетом существенно большей трудоемкости установления SSL-соединения со стороны сервера простой ноутбук на DSL-соединении может положить сервер на 30-гигабитном линке.
Данная реализация атаки ориентирована на включенный SSL-Renegotiation, но заявляется, что его отключение не является панацеей, поскольку атака может быть модифицирована. Из чего делается вывод, что решения, устраняющего проблему при сохранении привычной функциональности пока фактически не существует.
С последним моментом лично мне не все понятно. Атаки, построенные по данной схеме, давно известны и могут быть реализованы практически для любого протокола с хэндшейком и подобным перекосом в затратах на коннект. Давно известны и способы борьбы - выставление более жестких таймаутов, аккуратная очистка "залипших" сессий, ограничение на количество коннектов с одного клиента.
Так что проблема - да, реальна. Неразрешима - сомневаюсь. Вот вылетит в ближайшие дни gmail с facebook'ом, тогда поверю :)
