您的位置: 网界网 > 安全 > 正文

“心脏滴血”可能引发DDoS攻击吗?

2014年04月24日 03:07:53 | 作者:blackscreen | 来源:网界网

摘要:至少在当下,利用“心脏滴血”漏洞发动DDoS攻击的可能性不大。但是Lyon提醒,当下的结论只是当下的猜测,不排除在不远的将来有人会利用类似的漏洞发起DDoS攻击。

标签
攻击
安全
心脏滴血
DDoS
heartbleed

“‘心脏滴血’漏洞可以被利用发起放大DDoS[注]攻击,放大的倍数是3000倍!”对于这样的论断你怎么看?这是Twitter上的言论。

扯淡!你可能会这么说,NTP才尼玛放大400倍,“heartbleed”怎么可能放大得更多?

你说的很对。问题的关键不是放大多少倍,而是“Heartbleed”基于TLS,需要维持TCP会话,NTP基于UDP,没有状态,因此不可能发生类似NTP或DNS的反射放大情况。

不过,有人提醒,不要忘了TLS还有个兄弟——DTLS——基于UDP的TLS哦。基于UDP可以取得更高的通信性能,但是DTLS可是不基于状态的哦。那么是否可以被利用发起反射放大DDoS攻击呢?

针对这个问题,Black Lotus的Jeffrey A. Lyon做了详细解答。

Lyon的答案:不太可能。感谢RFC4347,它在DTLS通信中增加了cookie机制。发送一方在发送request信息的时候,加入cookie,并要求应答一方在返回的报文中携带同样的cookie,才可能继续接下来的通信。这样一来在很大程度上规避了反射的风险。

其次,如果攻击者绕过了Cookie机制怎么办?不是不可能。但是,DTLS自身具有天然的免疫力。首先,DTLS的应用很少。没有获得广泛应用的原因恰恰是其安全机制。虽然是UDP,但是由于引入了很多类似TCP的验证,使得原有UDP的高效丧失,效率上不比TCP高,因此采用DTLS的价值不太大。即便采用了DTLS,利用request信息获得反射response报文的放大倍数是相当低的,比NTP和DNS反射倍数小很多,攻击ROI是很低的。攻击者与其使用复杂的DTLS来放大,不如选择更简单方便的NTP或DNS协议。

简言之,至少在当下,利用“心脏滴血”漏洞发动DDoS攻击的可能性不大。但是Lyon提醒,当下的结论只是当下的猜测,不排除在不远的将来有人会利用类似的漏洞发起DDoS攻击。

为啥?安全攻击变化太快。

参考资料

1.DDoS:分布式拒绝服务(:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DoS攻击,从而成倍地提高拒绝服务...详情>>

[责任编辑:鹿宁宁 lu_ningning]

我也说几句