Mecanismos de defensa contra los ataques del tipo SSL-DoS / DDoS utilizando la solución Anti-DDoS 1800.
Mecanismo de ataque.
En los protocolos de enlace SSL, el uso de la CPU en el servidor es aproximadamente 15 veces mayor que en el cliente durante la negociación del algoritmo de cifrado. Un atacante puede aprovechar esta característica para iniciar renegociaciones rápidas y continuas (permitidas por SSL) en una conexión TCP para agotar los recursos de la CPU en un servidor. Este ataque se llama SSL-DoS. En los ataques SSL-DDoS, se utilizan múltiples hosts zombies para lanzar ataques SSL-DoS al servidor.
Mecanismo de defensa.
El dispositivo anti-DDoS recopila estadísticas sobre la velocidad de los paquetes de solicitud HTTPS por dirección de destino y permite la autenticación de origen y la defensa SSL cuando la velocidad de los paquetes de solicitud HTTPS alcanza un umbral específico.
● Para obtener detalles sobre el procedimiento de autenticación de origen, consulte
● Defensa SSL: en un ciclo de verificación de negociación, si el número de renegociaciones en una sesión desde una dirección de origen a la dirección de destino excede el umbral, el dispositivo anti-DDoS marca la sesión como anormal. En un ciclo de comprobación de anomalías de sesión, si el número de sesiones anormales supera el umbral, el dispositivo anti-DDoS incluye en la lista negra la dirección de origen.
Para más detalles, vea la Figura 1.
Figura 1 Defensa SSL
Saludos.
FIN
También te puede interesar:
Guía de dimensionamiento firewall USG6000 Series NGFW
Descripción general de la función DNS utilizado en firewalls de Huawei.
Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente