昨天学习kali系统的一些工具的使用时,发现一个基于TCP协议的攻击的工具,感觉挺有意思的,就自己试了下,利用这个工具攻击自己的物理机,果然发现资源一直在利用,所以把过程写下来,供大家学习。

thc-ssl-dos工具介绍:

SSL广泛应用安全加密和认证领域,如HTTPS、POP等服务。使用SSL,会加重服务器的负担。例如,在协商阶段,服务器的CPU开销是客户端的15倍。Kali Linux提供一款针对SSL的压力测试工具THC-SSL-DOS。该工具默认会同服务器建立400个SSL连接,并且快速进行重新协商Renegotiations,以达到大量消耗服务器CPU资源的目的。该工具目前只针对开启重新协商功能的服务器,所以只要关闭该功能,就可以抵御该工具的攻击。

德国黑客组织“The Hacker’s Choice”发布了工具THC SSL DOS,与传统DDoS工具不同的是,只需要一台执行单一攻击的电脑就能迅速消耗服务器资源,造成服务器拒绝服务。 这个攻击方式的本质是消耗服务器的CPU资源,在协商加密算法的时候服务器CPU的开销是客户端的 15 倍左右。而Renegotiating机制让攻击者可以在一个TCP连接中不停的快速重新协商,如果建立多个连接则服务端的压力更为可怕,而且这种攻击建立的连接数很少导致难以被察觉。从漏洞形成原因中,我们看到 Renegotiating机制可以让攻击者在一个TCP连接中不停的快速重新协商,由此可知,我们可以通过禁用Renegotiating机制来实现延缓此类拒绝攻击。但是其只能相对延缓,仍然不能彻底解决问题。如果通过客户端模拟多次请求连接,则依然会出现服务器端消耗资源过大的情况。由于德国黑客组织提供的工具THC SSL DOS目前只针对Renegotiations  Enabled的情况。

实例分析:

实验准备:kali2.0操作系统、目标主机(192.168.xx.xxx)

打开终端,在终端输入命令”thc-ssl-dos -l 10 192.168.xx.xxx  --accept”进行泛洪攻击,因为利用的是TCP协议,默认攻击的是443端口,结果如下:

在终端输入wireshark,启动wireshark抓包

打开目标主机任务管理器,查看CPU使用率

在目标主机命令窗口输入netstat -an,查看主机在使用的端口

可见,利用thc-ssl-dos工具对目标主机进行攻击,可以消耗服务器资源,造成服务器拒绝服务,其危害也是很大的,浪费目标主机的资源,使其无法正常通信。

解决办法:

我现在只知道一种方法,就是关闭443端口,等以后了解更多了再来补充。

SSL压力测试工具--thc-ssl-dos相关推荐

  1. SSL压力测试工具THC-SSL-DOS

    SSL压力测试工具THC-SSL-DOS SSL广泛应用安全加密和认证领域,如HTTPS.POP等服务.使用SSL,会加重服务器的负担.例如,在协商阶段,服务器的CPU开销是客户端的15倍.Kali ...

  2. Linux下四款Web服务器压力测试工具(http_load、webbench、ab、siege)介绍

    一.http_load程序非常小,解压后也不到100K http_load以并行复用的方式运行,用以测试web服务器的吞吐量与负载.但是它不同于大多数压力测试工具,它可以以一个单一的进程运行,一般不会 ...

  3. mysql 工具_MySQL压力测试工具,值得收藏

    一.MySQL自带的压力测试工具--Mysqlslap mysqlslap是mysql自带的基准测试工具,该工具查询数据,语法简单,灵活容易使用.该工具可以模拟多个客户端同时并发的向服务器发出查询更新 ...

  4. 十个免费的WEB压力测试工具

    两天,jnj在本站发布了<如何在低速率网络中测试 Web 应用>,那是测试网络不好的情况.而下面是十个免费的可以用来进行Web的负载/压力测试的工具,这样,你就可以知道你的服务器以及你的W ...

  5. sysbench压力测试工具简介和使用(一)

    sysbench压力测试工具安装和参数介绍 一.sysbench压力测试工具简介: sysbench是一个开源的.模块化的.跨平台的多线程性能测试工具,可以用来进行CPU.内存.磁盘I/O.线程.数据 ...

  6. mysqls压力测试怎么用_MySQL压力测试工具使用

    一.MySQL自带的压力测试工具--Mysqlslap mysqlslap是mysql自带的基准测试工具,该工具查询数据,语法简单,灵活容易使用.该工具可以模拟多个客户端同时并发的向服务器发出查询更新 ...

  7. linux下的web服务器压力测试工具之ab

    介绍 ab是apache附带的一款压力测试工具,它非常容易使用,ab可以直接在Web服务器本地发起测试请求.这至关重要,因为我们希望测试的服务器的处理时间,而不包含数据的网络传输时间以及用户PC本地的 ...

  8. Linux下四款Web服务器压力测试工具…

    一.http_load 程序非常小,解压后也不到100K http_load以并行复用的方式运行,用以测试web服务器的吞吐量与负载.但是它不同于大多数压力测试工具,它可以以一个单一的进程运行,一般不 ...

  9. Web性能压力测试工具之WebBench详解

    在运维工作中,压力测试是一项很重要的工作.比如在一个网站上线之前,能承受多大访问量.在大访问量情况下性能怎样,这些数据指标好坏将会直接影响用户体验.但是,在压力测试中存在一个共性,那就是压力测试的结果 ...

最新文章

  1. 浏览器端JS导出EXCEL
  2. spring mvc dubbo ios android整合cms内容发布平台
  3. 基于matlab的lsb数字水印
  4. 深入了解Token认证的来龙去脉
  5. 机器学习基础——实现基本的决策树
  6. AtomicIntegerArray和AtomicIntegerFieldUpdater
  7. git如何拉去开发的 最新代码_linux脚本拉取git代码并发布tomcat应用
  8. PHP判断升级,版本检测升级(更新)库
  9. 关于VMWare版本下载选择
  10. 语义分割学习——残差网络ResNet
  11. java自学笔记(4)-Stanford CS106A 弹球动画 20.9.9
  12. 不小心删除微信聊天记录怎么恢复?不看看这几种方法怎么行
  13. OBS Studio使用教程/工具高速下载
  14. 好看的充电宝有哪些?好看的充电宝推荐
  15. Mac 上有哪些比较有意思的小软件?
  16. matlab加停顿,求高手解释下这段程序,实在是搞不懂了,要死的节奏了。。。。...
  17. 查询并处理占用8080端口进程
  18. Docker容器安装最快最简单__编程小黑马
  19. syncthing开源工具,同步文件内容,入门操作简要指导
  20. 怎样访问远程服务器文件夹,访问远程服务器的共享文件夹

热门文章

  1. 【CC3200】【eegRudp】使用CMake组织工程
  2. 诗可以怨 --钱钟书
  3. 拥有全球七亿用户数据的墨迹赤必,能用天气服务为企业带来什么新气象?
  4. Oracle学习——表空间管理(二)
  5. MATLAB将每次运算结果循环依次写入xls文件
  6. 给Unity程序员的虚幻入门书-虚幻5如何像Unity一样复制一份资源
  7. 阿里云 OpenSearch 全文搜索
  8. linux配置yum镜像源
  9. 报错:java.lang.ClassNotFoundException: com.mysql.cj.jdbc.Driver at java.base/jdk.internal.loader.Bui
  10. AP Ezreal-不屈的呐喊-Candy攻略