2011年報(bào)出的Openssl重新密鑰協(xié)商會(huì)導(dǎo)致DoS攻擊，漏洞報(bào)出后沒多久一個(gè)黑客組織放出了DoS攻擊工具，這個(gè)代號(hào)CVE-2011-1473的漏洞至今openssl upstream并沒有具體的修復(fù)方案，這個(gè)爛攤子留給了具體的應(yīng)用程序開發(fā)者，比如Apache2給了相應(yīng)的配置文件可以直接關(guān)閉密鑰重新協(xié)商：

服務(wù)器端的重新密鑰協(xié)商的開銷是客戶端的15倍，在帶寬足夠的情況下一臺(tái)i7的CPU可以fuc*掉足夠多的服務(wù)器，以下是測評數(shù)據(jù)：

測試環(huán)境：SLES 11 SP2 , 虛擬機(jī)中分配了2 cores + 1GB內(nèi)存

Case I:

Server: openssl s_server -key server-key.pem
Client: thc-ssl-dos 192.168.0.1 4433 --accept -l 10000

最壞的情況：

 Cpu0 : 1.3%us, 1.7%sy, 0.0%ni, 97.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Cpu1 : 53.1%us, 5.1%sy, 0.0%ni, 37.1%id, 0.0%wa, 0.0%hi, 0.7%si, 0.0%st

Case II:  使用了開源加固方案，在netfilter上限制連接的速率和用固定的特征碼去匹配

#sh iptables.sh

#iptables -A INPUT -d 192.168.0.1 -p tcp --dport 4433 -j LIMIT_RENEGOCIATION

Server: openssl s_server -key server-key.pem
Client: thc-ssl-dos 192.168.0.1 4433 --accept -l 10000

最壞的情況：

Cpu0  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Cpu1  :  0.0%us,  0.7%sy,  0.0%ni, 99.3%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st