SSL协议惊现重大漏洞 网御星云重磅出击
SSL是网络安全通讯的基础,广泛应用于网上银行、网上支付、电子商务等重要网络服务中。2011年10月26日,德国黑客组织“The Hacker's Choice”公布了一种可快速攻破SSL服务器的新型DoS工具,该工具只需要一台普通电脑和ADSL连接即可轻易攻破SSL服务器。对于大型网络服务器来说,20台电脑和120Kbps的网络连接即可完成拒绝服务攻击,让SSL服务器资源耗尽直至宕机。
该攻击工具的有效性在多家主流网络安全公司得到了证实,其中,北京网御星云信息技术有限公司 先提供了深入的技术分析和行之有效的解决方案。
利用该SSL漏洞的攻击的详细过程如下图所示:
图1 SSL漏洞攻击报文交互示意图
从上述报文的交互过程中可以清晰地看到SSL服务器的资源如何在被耗尽:
1)SSL客户端通过发送一条 ClientHello 消息来初始化一次新的握手,该消息大约100字节左右,不需要加密。
2)服务器端响应CLientHello消息,需要连续发出3个消息,ServerHello、Certificate、ServerHelloDone,这3个消息一般在3000字节左右,需要用高级加密标准AES或流加密算法簇RC4进行加密后再发送。
3) 每次重握手,SSL服务端发送的数据比客户端多了30倍,同时还要进行加密,从而导致服务端CPU计算资源大量占用。
网御星云提出了针对该拒绝服务漏洞的检测和防护方案,同时把该技术应用于网御星云SAG系列的SSLVPN网关产品中。除此之外,该公司还公布了技术方案的细节,期望其他公司也能迅速跟进,以保护广大网络用户的利益。该技术方案采用了基于自学习的智能重握手漏洞检测技术,该技术基本图示如下:
图2 基于自学习的智能重握手漏洞检测
1)自学习模块完成正常SSL用户的登陆流量特征样本采集与统计,获得每个IP的成功登陆时间、重连结次数等指标信息。
2)因为上述指标分别服从正态分布和泊松分布,从而计算出符合一定置信概率的正常客户的上述指标估计。
3)采用上述指标作为检测阈值,计算当前SSL客户的信任度,如果信任度低于用户设定的参数,即把该客户放入受控接入名单。
4)网御网关SAG产品根据该名单,阻止发起重握手客户的SSL访问,并保障正常的基于SSL服务的业务运行。
还有一些网络安全公司提出了关闭重握手(Renegotiation)以防止该漏洞被利用的解决方案,但这只能延缓SSL服务被攻击所导致的宕机到来时间,还会导致SSL扩展服务无法使用。相关用户应尽快进行SSL服务器安全检查,并且及时调整相关安全产品的安全规则,以应对此漏洞带来的安全风险。