今天，我們將深入研究一種典型的DDOS攻擊類型——TLS洪水攻擊，TLS（傳輸層安全）洪水攻擊可以淹沒大多數(shù)DDoS防護(hù)解決方案。因此如果您使用了錯(cuò)誤的解決方案，意味著您的Web應(yīng)用程序面臨很大的風(fēng)險(xiǎn)！

今天將由火傘云帶大家來看看什么是TLS洪水攻擊以及它們是如何工作的，隨后火傘云將分享有關(guān)如何保護(hù)您的Web應(yīng)用程序免受這種日益嚴(yán)重的威脅的部分實(shí)用技巧。

一、TLS流量的隱藏風(fēng)險(xiǎn)

TLS可以針對(duì)多種類型的網(wǎng)絡(luò)攻擊提供強(qiáng)有力的保護(hù)，但它們不能免受DoS（拒絕服務(wù)）攻擊。DoS攻擊是DDoS攻擊的一種，旨在通過發(fā)送大量加密流量來使Web應(yīng)用程序過載。這種類型的攻擊從系統(tǒng)邏輯來看是合法的，但實(shí)際上卻是將請(qǐng)求濫用以破壞應(yīng)用程序的正常使用的。黑客會(huì)創(chuàng)建合乎系統(tǒng)邏輯的TLS連接，甚至可以正確響應(yīng)發(fā)送來確認(rèn)用戶身份的第4層和第7層質(zhì)詢。攻擊者對(duì)目標(biāo)網(wǎng)站發(fā)起更加頻繁和持續(xù)的攻擊，它們可能會(huì)產(chǎn)生CPS（每秒連接數(shù)）或 RPS（每秒請(qǐng)求數(shù)）洪水來淹沒網(wǎng)站并使其離線。

根據(jù)《2022-2023年全球威脅分析報(bào)告》，網(wǎng)絡(luò)攻擊的頻率正在不斷增加，但攻擊規(guī)模在不斷縮小。攻擊者使用較小規(guī)模的攻擊，并將其與其他攻擊媒介相結(jié)合，以最大限度地發(fā)揮其影響，

以下是TLS流量攻擊背后可能隱藏的一些額外潛在風(fēng)險(xiǎn)：

惡意軟件：黑客可能會(huì)使用TLS加密來隱藏惡意軟件流量，從而使安全措施更難以檢測(cè)和阻止它。

數(shù)據(jù)盜竊：黑客可能會(huì)使用TLS竊取通過互聯(lián)網(wǎng)傳輸?shù)臄?shù)據(jù)，這可能包括敏感信息，例如登錄憑據(jù)、財(cái)務(wù)信息和個(gè)人數(shù)據(jù)。

中間人(MitM) 攻擊：TLS旨在防止MitM攻擊，但它并非萬無一失，如果攻擊者可以攔截TLS流量，他們可能能夠解密并讀取數(shù)據(jù)，從而竊取敏感信息或操縱通信。

二、檢測(cè)和緩解加密洪水攻擊時(shí)面臨的挑戰(zhàn)

由于多種原因，檢測(cè)和緩解加密洪水攻擊可能具有一定難度。

最主要的難點(diǎn)在于：

難以識(shí)別惡意流量（誤報(bào)/漏報(bào)）。如前所述，TLS 加密可能會(huì)導(dǎo)致難以識(shí)別和阻止惡意流量，加密洪水攻擊可能會(huì)產(chǎn)生大量誤報(bào)，從而導(dǎo)致不必要的安全警報(bào)并影響安全解決方案的性能，準(zhǔn)確檢測(cè)這些攻擊需要先進(jìn)的威脅檢測(cè)解決方案，能夠區(qū)分合法流量和惡意流量。

資源的巨大消耗。解密流量需要大量的處理能力和內(nèi)存，包括其他資源。如果DDoS攻擊使服務(wù)器充滿解密流量，它會(huì)迅速淹沒服務(wù)器的資源并使其無法處理合法流量。

信息的巨大傳輸量。DDoS 洪水攻擊會(huì)產(chǎn)生大量流量，遠(yuǎn)遠(yuǎn)超出服務(wù)器的處理能力，如果此流量還執(zhí)行解密操作，則可能會(huì)進(jìn)一步增加服務(wù)器上的延遲和負(fù)載，從而使減輕攻擊變得更加困難。

成本問題。檢測(cè)和緩解加密洪水攻擊的成本可能很高，尤其是在客戶支付處理費(fèi)用的云環(huán)境中，組織需要投資先進(jìn)的安全解決方案和基礎(chǔ)設(shè)施來防范這些攻擊，這可能成本高昂。

三、為加密洪水攻擊做好設(shè)備準(zhǔn)備

如今，市場(chǎng)上的大多數(shù)DDoS解決方案都需要24*7*365天的完全解密來檢測(cè)和緩解加密的洪水攻擊。

而且這個(gè)里面依然存在一些問題必須解決：

客戶不愿意共享證書/或無權(quán)訪問證書，導(dǎo)致基于解密的檢測(cè)和緩解是不可行的。

由于性能影響、延遲（用戶體驗(yàn)）、隱私問題、技術(shù)挑戰(zhàn)和成本，不建議通過24*7*365天解密流量來檢測(cè)攻擊。

以下是火傘云關(guān)于如何有效保護(hù)您的環(huán)境免受加密洪水攻擊的建議：

零解密解決方案是一種基于機(jī)器學(xué)習(xí) (ML) 的行為機(jī)制，無需解密即可檢測(cè)和緩解加密洪水，這是一項(xiàng)關(guān)鍵功能，特別是對(duì)于加密的CPS和RPS洪水。

部分解密解決方案旨在通過最小化延遲來優(yōu)化用戶體驗(yàn)，借助這項(xiàng)創(chuàng)新技術(shù)，可以在檢測(cè)到攻擊后并且僅在可疑會(huì)話上解密流量，對(duì)合法流量沒有任何影響。檢測(cè)后，最有效的方法是僅解密“第一個(gè)HTTPS請(qǐng)求”并驗(yàn)證源，您可以解密可疑會(huì)話并使用傳統(tǒng)保護(hù)措施減輕攻擊。

當(dāng)流量解密使CPU消耗達(dá)到最大時(shí)，應(yīng)使用可擴(kuò)展的解決方案。在這種情況下，解決方案必須具有支持TLS v1.3的TLS加速器硬件，以通過卸載解密處理來支持CPU。TLS v1.3支持。如果您選擇此解決方案，您就已經(jīng)了解 TLS v1.3 的重要性，只需確保您的環(huán)境支持該協(xié)議并且可以解密TLS v1.3 流量（如有必要）。

四、請(qǐng)為您的系統(tǒng)配置多層防御策略

總而言之，制定多層防御策略非常重要，這必須包括使用專門的DDoS 保護(hù)，可以通過零解密檢測(cè)可疑模式，自動(dòng)緩解加密洪水攻擊，并使您的網(wǎng)站和應(yīng)用程序可供用戶使用，火傘云提供支持L3/L4至L7的多層DDoS 防護(hù)解決方案，歡迎大家咨詢了解。

審核編輯 黃宇