今天，我們將深入研究一種典型的DDOS攻擊類型——TLS洪水攻擊，TLS（傳輸層安全）洪水攻擊可以淹沒大多數DDoS防護解決方案。因此如果您使用了錯誤的解決方案，意味著您的Web應用程序面臨很大的風險！

今天將由火傘云帶大家來看看什么是TLS洪水攻擊以及它們是如何工作的，隨后火傘云將分享有關如何保護您的Web應用程序免受這種日益嚴重的威脅的部分實用技巧。

一、TLS流量的隱藏風險

TLS可以針對多種類型的網絡攻擊提供強有力的保護，但它們不能免受DoS（拒絕服務）攻擊。DoS攻擊是DDoS攻擊的一種，旨在通過發送大量加密流量來使Web應用程序過載。這種類型的攻擊從系統邏輯來看是合法的，但實際上卻是將請求濫用以破壞應用程序的正常使用的。黑客會創建合乎系統邏輯的TLS連接，甚至可以正確響應發送來確認用戶身份的第4層和第7層質詢。攻擊者對目標網站發起更加頻繁和持續的攻擊，它們可能會產生CPS（每秒連接數）或 RPS（每秒請求數）洪水來淹沒網站并使其離線。

根據《2022-2023年全球威脅分析報告》，網絡攻擊的頻率正在不斷增加，但攻擊規模在不斷縮小。攻擊者使用較小規模的攻擊，并將其與其他攻擊媒介相結合，以最大限度地發揮其影響，

以下是TLS流量攻擊背后可能隱藏的一些額外潛在風險：

惡意軟件：黑客可能會使用TLS加密來隱藏惡意軟件流量，從而使安全措施更難以檢測和阻止它。

數據盜竊：黑客可能會使用TLS竊取通過互聯網傳輸的數據，這可能包括敏感信息，例如登錄憑據、財務信息和個人數據。

中間人(MitM) 攻擊：TLS旨在防止MitM攻擊，但它并非萬無一失，如果攻擊者可以攔截TLS流量，他們可能能夠解密并讀取數據，從而竊取敏感信息或操縱通信。

二、檢測和緩解加密洪水攻擊時面臨的挑戰

由于多種原因，檢測和緩解加密洪水攻擊可能具有一定難度。

最主要的難點在于：

難以識別惡意流量（誤報/漏報）。如前所述，TLS 加密可能會導致難以識別和阻止惡意流量，加密洪水攻擊可能會產生大量誤報，從而導致不必要的安全警報并影響安全解決方案的性能，準確檢測這些攻擊需要先進的威脅檢測解決方案，能夠區分合法流量和惡意流量。

資源的巨大消耗。解密流量需要大量的處理能力和內存，包括其他資源。如果DDoS攻擊使服務器充滿解密流量，它會迅速淹沒服務器的資源并使其無法處理合法流量。

信息的巨大傳輸量。DDoS 洪水攻擊會產生大量流量，遠遠超出服務器的處理能力，如果此流量還執行解密操作，則可能會進一步增加服務器上的延遲和負載，從而使減輕攻擊變得更加困難。

成本問題。檢測和緩解加密洪水攻擊的成本可能很高，尤其是在客戶支付處理費用的云環境中，組織需要投資先進的安全解決方案和基礎設施來防范這些攻擊，這可能成本高昂。

三、為加密洪水攻擊做好設備準備

如今，市場上的大多數DDoS解決方案都需要24*7*365天的完全解密來檢測和緩解加密的洪水攻擊。

而且這個里面依然存在一些問題必須解決：

客戶不愿意共享證書/或無權訪問證書，導致基于解密的檢測和緩解是不可行的。

由于性能影響、延遲（用戶體驗）、隱私問題、技術挑戰和成本，不建議通過24*7*365天解密流量來檢測攻擊。

以下是火傘云關于如何有效保護您的環境免受加密洪水攻擊的建議：

零解密解決方案是一種基于機器學習 (ML) 的行為機制，無需解密即可檢測和緩解加密洪水，這是一項關鍵功能，特別是對于加密的CPS和RPS洪水。

部分解密解決方案旨在通過最小化延遲來優化用戶體驗，借助這項創新技術，可以在檢測到攻擊后并且僅在可疑會話上解密流量，對合法流量沒有任何影響。檢測后，最有效的方法是僅解密“第一個HTTPS請求”并驗證源，您可以解密可疑會話并使用傳統保護措施減輕攻擊。

當流量解密使CPU消耗達到最大時，應使用可擴展的解決方案。在這種情況下，解決方案必須具有支持TLS v1.3的TLS加速器硬件，以通過卸載解密處理來支持CPU。TLS v1.3支持。如果您選擇此解決方案，您就已經了解 TLS v1.3 的重要性，只需確保您的環境支持該協議并且可以解密TLS v1.3 流量（如有必要）。

四、請為您的系統配置多層防御策略

總而言之，制定多層防御策略非常重要，這必須包括使用專門的DDoS 保護，可以通過零解密檢測可疑模式，自動緩解加密洪水攻擊，并使您的網站和應用程序可供用戶使用，火傘云提供支持L3/L4至L7的多層DDoS 防護解決方案，歡迎大家咨詢了解。

審核編輯 黃宇