Akamai 是一家专注于网络安全和云计算的公司,致力于支持并保护在线商业活动。我们卓越的安全解决方案、出色的威胁情报和全球运营团队可提供深度防御,保护各地的企业数据和应用程序。Akamai 的全栈云计算解决方案可在全球分布广泛的平台上提供高性能和经济实惠的服务。全球多家企业坚信,Akamai 能够提供卓越的可靠性、规模和专业知识,帮助企业满怀信心地实现业务增长。
SSL/TLS 是一种安全协议,为用户和服务器之间的互联网通信提供加密和身份验证。该协议用于确保数据隐私、保护信用卡交易、验证网站身份,并维护数据传输的完整性。SSL/TLS 在网络中得到了广泛使用,并成为大多数安全通信协议的核心组成部分。
SSL/TLS 耗尽型攻击(亦称为加密攻击)企图通过耗尽可用资源,使目标系统的安全通信能力陷入瘫痪状态。这种攻击类型通常试图使目标服务陷入瘫痪状态,或至少显著降低其性能。在 SSL/TLS 耗尽型攻击中常用的技术可能包括但不限于:
- 拒绝服务 (DoS) ——攻击者向目标发送大量请求,使其不堪重负,以至于无法处理合法的请求
- 暴力破解攻击 ——攻击者发送大量请求,试图猜测身份验证凭据
- 放大攻击 ——在这种攻击中,攻击者发送少量请求引发大量响应,从而耗尽目标系统上的资源
- TCP 连接和会话状态 ——在 SSL/TLS 密钥交换过程中,需要进行加密和解密的复杂操作,这些操作会消耗系统的大量资源。同时,为了维护每个活动客户端(无论是否假冒)的会话连接状态,还需要进行数据存储和内存分配
通过结合使用多种技术,攻击者能够发起高效的 SSL/TLS 耗尽型攻击,使目标的安全通信基础架构陷入瘫痪状态。此外,攻击者还可以借助自动化脚本和工具更高效地执行此类攻击,从而大幅减少所需的手动操作。因此,为了防范这类攻击,企业必须保持高度警惕,并实施相应的安全措施,例如使用多重身份验证、加密敏感数据,以及定期监控网络流量,从而抵御潜在的威胁。
SSL/TLS 耗尽型攻击是如何运作的?
SSL/TLS 耗尽型攻击的基本机制在于,通常借助自动化工具或脚本发送数千乃至数百万的特定请求,从而淹没服务器。这些请求的形式多样,具体取决于所利用的特定漏洞,往往会将服务器的资源消耗殆尽,最终使服务器无法响应。这项技术主要涉及到初始化数据加密密钥 (DEK)、密钥加密密钥 (KEK) 或主加密密钥 (MEK),然而,它并不会完成完整的密钥交换,也不会请求服务器(亦称为 URI 或 URL)上的文件。
SSL/TLS 耗尽型攻击的后果是什么?
SSL/TLS 耗尽型攻击可能带来严重的后果,包括敏感数据的泄露和关键服务的中断。为减轻这些攻击的影响,安全和服务器管理员应采取一系列措施来强化安全防御并实施抵御技术,例如增加内存容量、TLS 会话恢复、连接或 TLS 速率限制、云端净化、CDN 或者采用可扩展的专用硬件来处理和分载 SSL/TLS 任务。
我可以如何防范 SSL/TLS 耗尽型攻击?
如果您怀疑自己的服务器遭到了 SSL/TLS 耗尽型攻击,当务之急是迅速采取措施来控制和减轻损失。例如,断开服务器与网络的连接,或者暂时禁用任何受到影响的服务,直至问题得到妥善解决。操作员还应与 IT 专业人员或安全专家紧密合作,共同识别和修复攻击所针对的漏洞。尽管存在多种技术可以减轻这些攻击的影响,但遗憾的是,目前尚无杜绝此类攻击媒介的万全之策。
如果遭到了 SSL/TLS 耗尽型攻击,我应该怎么办?
如果您对潜在的 SSL/TLS 耗尽型攻击感到担忧,那么在攻击事件发生时,您可以采取一系列措施来帮助缓解损失。首先,您应拥有明确的行动手册,这样可以在攻击事件发生时迅速识别出被攻击的资源,同时调动必要的资源或系统负责人。若缺乏高效的上报规程,您将面临长时间服务中断的风险,这不仅会干扰正常的业务运营,更可能对收入造成不利影响。其次,即便遭遇完全中断,您也要保持冷静。许多时候,错误往往是由于个人的过度反应和忽略适当的变更控制流程所导致的。最后,让治理团队对部署的所有对策进行审查,应用严格的“经验教训”策略,以减少风险或未来可能产生重大影响的事件。
借助 Akamai 防范 SSL/TLS 耗尽型攻击和 DDoS 攻击
Akamai 提供端到端的 DDoS 防护 充当第一道防线,通过专用边缘、分布式 DNS 和云抵御策略提供保护,从而防止附带损害和单点故障。我们专门构建的 DDoS 云提供专用的净化容量和更高的抵御质量,可以根据 Web 应用程序或基于互联网的服务的具体要求进行微调。
Akamai Prolexic是一种阻止 SSL/TLS 耗尽型攻击和其他 DDoS 攻击的有效方法,这是一个经过验证的云净化服务,可以保护整个数据中心和面向互联网的基础架构在所有端口和协议上免受 DDoS 攻击。借助 Prolexic,在全球分布式高容量净化中心通过 BGP 广播路由流量,我们的安全运营指挥中心 (SOCC) 可在此部署主动和/或自定义抵御控制措施,以立即阻止攻击。通过将流量路由到附近的净化中心,Prolexic 可在更靠近攻击源头的位置阻止攻击,从而尽可能为用户提高性能,并通过云端分布保持网络复原力。净化完毕后,干净流量通过逻辑或专用活动连接返回客户源站。
Prolexic 有“不间断”或“按需”两种服务形式,可基于混合源站间的安全态势需求,提供灵活的集成模型。
利用 Akamai Prolexic,您的安全团队可以:
- 通过主动抵御控制措施和 Prolexic 的零秒 SLA,降低 DDoS 攻击的风险
- 在不影响抵御质量的情况下,阻止高度复杂的 SSL/TLS 耗尽型 DDoS 攻击
- 通过在整个企业内一致地应用 DDoS 抵御策略来统一安全态势(无论应用程序托管在何处)
- 优化事件响应,通过服务验证演练、自定义操作手册和操作准备演练来确保业务连续性
- 通过我们的全托管式解决方案来扩展安全资源,该解决方案由超过 225 名一线 SOCC 响应人员提供支持