SSL是网络安全通讯的基础，广泛应用于网上银行、网上支付、电子商务等重要网络服务中。2011年10月26日，德国黑客组织“The Hacker's Choice”公布了一种可快速攻破SSL服务器的新型DoS工具，该工具只需要一台普通电脑和ADSL连接即可轻易攻破SSL服务器。对于大型网络服务器来说，20台电脑和120Kbps的网络连接即可完成拒绝服务攻击，让SSL服务器资源耗尽直至宕机。 

　　该攻击工具的有效性在多家主流网络安全公司得到了证实，其中，北京网御星云信息技术有限公司最先提供了深入的技术分析和行之有效的解决方案。 

　　利用该SSL漏洞的攻击的详细过程如下图所示： 

　　

　　图1 SSL漏洞攻击报文交互示意图 

　　从上述报文的交互过程中可以清晰地看到SSL服务器的资源如何在被耗尽： 

　　1）SSL客户端通过发送一条 ClientHello 消息来初始化一次新的握手，该消息大约100字节左右，不需要加密。 

　　2）服务器端响应CLientHello消息，需要连续发出3个消息，ServerHello、Certificate、ServerHelloDone，这3个消息一般在3000字节左右，需要用高级加密标准AES或流加密算法簇RC4进行加密后再发送。 

　　3) 每次重握手，SSL服务端发送的数据比客户端多了30倍，同时还要进行加密，从而导致服务端CPU计算资源大量占用。 

　　网御星云提出了针对该拒绝服务漏洞的检测和防护方案，同时把该技术应用于网御星云SAG系列的SSLVPN网关产品中。除此之外，该公司还公布了技术方案的细节，期望其他公司也能迅速跟进，以保护广大网络用户的利益。该技术方案采用了基于自学习的智能重握手漏洞检测技术，该技术基本图示如下： 

　　

　　图2 基于自学习的智能重握手漏洞检测 

　　1）自学习模块完成正常SSL用户的登陆流量特征样本采集与统计，获得每个IP的成功登陆时间、重连结次数等指标信息。 

　　2）因为上述指标分别服从正态分布和泊松分布，从而计算出符合一定置信概率的正常客户的上述指标估计。 

　　3）采用上述指标作为检测阈值，计算当前SSL客户的信任度，如果信任度低于用户设定的参数，即把该客户放入受控接入名单。 

　　4）网御网关SAG产品根据该名单，阻止发起重握手客户的SSL访问，并保障正常的基于SSL服务的业务运行。 

　　还有一些网络安全公司提出了关闭重握手(Renegotiation)以防止该漏洞被利用的解决方案，但这只能延缓SSL服务被攻击所导致的宕机到来时间，还会导致SSL扩展服务无法使用。相关用户应尽快进行SSL服务器安全检查，并且及时调整相关安全产品的安全规则，以应对此漏洞带来的安全风险。

(责任编辑：安博涛)