thc ssl dos攻击

着名的德国黑客组织"The Hacker's Choice"今日公布了一种可快速攻破SSL服务器的新型DoS工具，而黑客使用的平台却仅仅是一台普通PC.

 

　　据介绍，这种新型的DoS工具被称之为THC-SSL-DOS,它被设计用来提醒人们注意SSL中的漏洞，并敦促业界采取措施让SSL变得更安全。

 

　　"几个月前我们就意识到SSL中存有漏洞，为此我们决定正式发布这种攻击工具，以激发起大家对该问题的重视。" 该黑客组织在一篇博客中如此写道。"业内应该及时采取措施弥补漏洞，让人们免受安全风险。SSL采用过时的方法来保护个人隐私信息，对于21世纪来说，这 未免过于复杂，而且也没有必要也不适合时代需求。"

 

　　根据该组织的声明，只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器农场来说，则需要20台电脑和120Kbps 的网络连接即可实现。该攻击工具的一个最基本特点是，它仅需要对加密密钥进行重新请求--而加密密钥被用来在服务器端和客户端创建高达1000并行连接。

 

　　因此，任何一台SSL服务器在这种工具面前都失去了免疫--包括Web服务器、电子邮件服务器等。

 

　　另据悉，该工具可免费下载，不过仅面向Windows和Unix平台。

 

 

转自http://m114.org/%E7%A0%94%E7%A9%B6%E4%BA%BA%E5%91%98%E5%8F%91%E5%B8%83ssl-dos%E6%94%BB%E5%87%BB%E5%B7%A5%E5%85%B7/

研究人员发布了一个攻击工具，任何人都可以把提供SSL安全连接的网站攻击下线，新的方法被称为SSL拒绝服务攻击（SSL DOS）。 德国黑客组织“The Hacker’s Choice”发布了THC SSL DOS， 利用SSL中的已知弱点，迅速消耗服务器资源，与传统DDoS工具不同的是，它不需要任何带宽，只需一台执行单一攻击的电脑。
 
漏洞存在于协议的 renegotiation过程中，renegotiation被用于浏览器到服务器之间的验证。网站可以在不启用renegotiation进程的情况 下使用HTTPS，但研究人员指出很多网站仍然默认启用renegotiation。
 
可以攻击到 https/smtps/pops 等等 ，目前还没有比较好的解决方法
No real solutions exists. The following steps can mitigate (but not solve) the problem:
1. Disable SSL-Renegotiation
2. Invest into SSL Accelerator
 
攻击软件安装使用
wget http://www.thc.org/thc-ssl-dos/thc-ssl-dos-1.4.tar.gz
tar xf thc-ssl-dos-1.4.tar.gz
cd thc-ssl-dos-1.4
./configure && make
使用
src/thc-ssl-dos –accept 192.168.0.1 443
 
我测试了下，内网环境，10分钟 服务器https 服务器失出反应
 
下载地址：Windows Linux