您现在所在位置:主页 > 防御cc >

cc防护_福州高防服务器_零元试用

更新时间:2021-05-05

cc防护_福州高防服务器_零元试用

我们所知道的互联网之所以能够出现,是因为密码技术,特别是TLS(以前称为SSL)。如果没有这项关键技术为私人在线交流提供手段,电子商务将完全不是一件事,互联网很可能只不过是一条分享恶作剧的全球聚会路线。尽管SSL/TLS的本质很关键,服务器防御ddos攻击方法,但长期以来忽略甚至引入了SSL/TLS堆栈的弱点。在出口密码的案例中,政府监管允许反常和各种降级攻击成为可能,但有一长串的例子表明,在实际攻击出现之前,研究似乎被忽视了。上个月在AusCERT上,研究人员汉诺•博克(Hanno Böck)的演讲用一张幻灯片很好地总结了这一点:

来源:HannoBöck的"错误和过时TLS实现的负担"上面的幻灯片是一个已发表研究的列表,服务器前面加个高防cdn,描述了SSL/TLS中发现的弱点,以及几年后发布的攻击,这些攻击可以通过遵循研究中描述的缓解措施来避免。正如我们在这些例子中看到的,社区中已知的问题平均持续了大约12年,变异cc怎么防御,但在此期间没有实施缓解措施。其中一些攻击已经引发了恐慌和类似SSL升级的消防演习,一些业内人士声称,由于匆忙的管理员错误配置,这导致了进一步的不安全。这种在弥补弱点方面的滞后使得那些依赖密码技术的人暴露在攻击之下。在弃用的MD5哈希算法的情况下,1993年至1996年的研究表明MD5压缩中可能发生冲突,这导致密码学家认为MD5在抗碰撞方面是有效的破坏。大约十年后的2004年,大学的研究人员展示了使用ibmp690集群在不到一个小时内用相同的哈希值生成两个输入的能力。密码学家随后对这些攻击进行了改进,以生成带有碰撞哈希的X.509证书,甚至在一台简单的笔记本电脑上也实现了这一过程。CERT/CC敲响了最后的丧钟,VU#836068的标题仅仅是"MD5易受碰撞攻击"。这份出版物非常直接地说明了密码社区多年来所知道的:MD5在密码方面是被破坏的,不应用于安全应用。几年后,全世界都知道了一种叫做Flame的复杂恶意软件。尽管有多年的警告,现实世界的系统仍然没有完全脱离MD5。Flame的作者利用这一点,创建了一个伪造的证书,允许目标系统信任他们的恶意软件。除了使用具有众所周知的缺陷的算法之外,还有一个历史就是以与buggy软件的互操作性为名引入弱点。例如,在开发OpenSSL的早期,开发人员就意识到Netscape enterprisev2.01有一个与会话恢复相关的bug。具体来说,SSLv2/v3兼容模式连接随后可以使用不同的SSLv3特定密码套件恢复。然后,为了避免兼容性问题,在代码中添加了解决方法选项"SSL_OP_NETSCAPE_REUSE_CIPHER_CHANGE_BUG"。此选项(通常作为"SSL"的一部分启用)后来被发现是一个弱点,因为恶意客户端可以操纵会话缓存来降低恢复连接上使用的密码。这个漏洞,再加上提供出口级密码的服务器,意味着许多用户在十多年内都会受到攻击,这仅仅是因为他们决定使用损坏的实现。由于有意识地决定与损坏的SSL/TLS堆栈保持兼容性,许多攻击实际上已经启用。不幸的是,许多实现都受到我们称之为"版本不容忍"的影响。当客户端启动与服务器的TLS连接时,发送的第一条消息(client Hello)会公布该客户端支持的TLS协议的最高版本。例如,SSLv3表示为0x0300,而TLSv1.0表示为0x0301,直到最新标准TLSv1.2,windowsddos防御,即0x0303。预期服务器将响应服务器Hello,指示最高的相互支持的协议规范。如果服务器发现握手有问题(即不受支持的扩展、没有匹配的密码等),它应该向客户端发送TLS警报。然而,当研究人员对暴露在互联网上的TLS服务进行扫描时,他们发现在1120万个对旧协议修订做出积极响应的主机中,17%的主机向TLSv1.2客户端Hello发送了不正确的响应。进一步分析发现,高达21%的具有可信证书的服务器发送了无效响应,高防cdn不限内容,表明这种行为不仅限于配置错误或未维护的服务。(这项研究发表在ACSAC的12期会议上,标题是"SSL互联网测量的一年"。)这个版本的不容忍导致所有主要浏览器都实现了被称为"回退之舞"的东西为了避免让访问损坏网站的用户感到不安,浏览器被设计成在放弃之前不断尝试用越来越低的安全参数建立连接。简而言之,这意味着如果服务器没有响应TLSv1.2hello,浏览器将再次尝试TLSv1.1和TLSv1.0,依此类推。对于具有中间人功能的攻击者(TLS被认为是安全的),他们所要做的就是放弃对新协议的协商尝试,直到浏览器尝试协商攻击者可以中断的会话。浏览器厂商已经通过禁止危险的回退来应对这个问题,但是随着TLSv1.3标准的确认,我们很可能会再次看到问题的出现。展望未来,企业和消费者都需要对供应商施加压力,以避免对TLS堆栈沾沾自喜。就TLS而言,正常工作和正常工作之间有很大的区别。不幸的是,这些解决办法和实施缓解措施的失败并不存在于真空中,它们往往是对抗变革摩擦的直接结果。然而,我希望通过讨论这些问题,更多的人将成为使用经过良好测试和标准化的TLS实现的倡导者。