HTTPS攻击

  • 全站https正成为潮流趋势
    • 淘宝、百度
  • HTTPS的作用
    • CIA
    • 解决的是信息传输过程中数据被篡改、窃取
    • 加密:对称、非对称、单向
  • HTTPS攻击方法
    • 降级攻击
      • 将高强度算法降级为低强度算法
    • 解密攻击(明文、证书伪造)
    • 协议漏洞、https实现方法的漏洞、配置不严格

SSL/TLS拒绝服务攻击

  • thc-ssl-dos
    • ssl协商加密对性能开销大,大量握手请求会导致拒绝服务
    • 利用SSL secure Renegotiation特性,在单一TCP连接中生成数千个SSL重连接请求,造成服务器资源过载
    • 与流量式拒绝服务攻击不同,thc-ssl-dos可以利用dsl线路打垮30G带宽的服务器
    • 服务器平均可以处理300次/秒SSL握手请求
    • 对SMTPS、POP3S、等服务同样有效
    • thc-ssl-dos 199.223.209.205 2804 -accept