Estabelecer uma conexão segura (SSL) requer um processamento 15x a mais no servidor
do que no cliente.
THC-SSL-DOS explora exatamente esta propriedade assimétrica sobrecarregamento do servidor e colocando fora da internet.
Esse problema afeta todas as implementações de SSL hoje em dia. Os vendors estão conscientes deste problema desde 2003 o tema tem sido amplamente discutido.
Este ataque explora ainda mais o recurso habilitado por padrão nos servidores que é
a "SSL-Renegotiation", que consiste em disparar milhares de renegociações via única conexão TCP.
Medidas metigatórias
Hoje não existe nenhuma solução real. Os passos a seguir podem mitigar (mas não resolver)
o problema:
- Desabilitar o "SSL-Renegotiation"
- Investir em um "SSL Accelerator"
Maiores detalhes: http://www.thc.org/thc-ssl-dos e http://thehackerschoice.wordpress.com/2011/10/24/thc-ssl-dos/
Nenhum comentário:
Postar um comentário