本是陽春三月好時光，OpenSSL卻在此時爆出了高危漏洞drown，一時間讓運維小哥們頭頂陰云籠罩。這個在安全圈掀起驚濤駭浪的drown漏洞到底是何方妖孽?!運維同學(xué)們該如何將它消滅?且聽云小哥為您解答。drown漏洞是什么?

在北京時間2016年3月2日，OpenSSL 官方發(fā)布安全公告，公布了一利用SSLv2協(xié)議弱點來對TLS進(jìn)行跨協(xié)議攻擊的安全漏洞CVE-2016-0800，即drown漏洞，影響使用了SSLv2協(xié)議的用戶。

攻擊者可利用這個漏洞來對服務(wù)器的TLS會話信息進(jìn)行破解，獲取用戶與服務(wù)器間的任意通信流量。內(nèi)容包括但不限于用戶名，密碼，郵箱以及圖片文檔等隱私信息。其攻擊示意如下：

雖然SSLv2是一種比較古老的協(xié)議，但據(jù)統(tǒng)計互聯(lián)網(wǎng)上仍然有17% 的https 服務(wù)允許使用SSLv2 協(xié)議連接。

如何判斷是否受drown漏洞影響?

好了，那如何判斷自己的網(wǎng)站是否收到了drown漏洞的影響，您可以通過以下網(wǎng)站快速進(jìn)行檢測，https://test.drownattack.com/?site=你的站點，例如我們輸入某知名搜索引擎域名進(jìn)行測試，右方出現(xiàn)的被標(biāo)識為vulnerable的IP

就是該域名下受drown漏洞影響的服務(wù)器IP了。

輸入自家網(wǎng)站測試之后，看見自己服務(wù)器被標(biāo)識為vulnerable，運維小哥的內(nèi)心是否虎軀一震，內(nèi)心千萬頭神獸呼嘯而過。不要擔(dān)心，讓云小哥為您支招。

如何修復(fù)drown漏洞?

如何修復(fù)drown漏洞，云小哥有兩招推薦：

(1)第一招：主動禁用所有服務(wù)器中的SSLv2協(xié)議：

要將所有用到SSL的服務(wù)器禁用SSLv2

如果無法禁用SSLv2，則需要進(jìn)行OpenSSL 版本升級，將OpenSSL 1.0.2 升級至OpenSSL 1.0.2g，OpenSSL 1.0.1升級至OpenSSL 1.0.1s。其他版本升級到1.0.1和1.0.2的無影響版本

但這一招是要禁用所有服務(wù)器或者升級OpenSSL組件，看著那密密麻麻的IP列表，特別是難以一次全量梳理的網(wǎng)站域名/IP和各業(yè)務(wù)間依賴關(guān)系，運維小哥的內(nèi)心想必是再度崩潰的，莫要捉急，云小哥還有第二個大招推薦。

(2)第二招：網(wǎng)站類業(yè)務(wù)接入防御系統(tǒng)：

在各類企業(yè)應(yīng)用中，Web服務(wù)器往往占用主要SSL使用比例，并且往往由于域名多、業(yè)務(wù)間依賴復(fù)雜、歷史遺留問題等難以一次全量梳理并快速升級。如果任一個地方遺漏則可能成為安全短板，事倍功半。

大禹具備接入簡單、平滑的特點。并大禹已在所有節(jié)點上禁用SSLv2，大禹節(jié)點配置不受漏洞影響?？蛻糁恍枰獙⑵溆蛎髁拷尤氪笥?，其業(yè)務(wù)即可平穩(wěn)、快速的“升級”到安全的TLS/SSL版本。此時由于客戶端到大禹節(jié)點間的流量全部使用安全的HTTPS協(xié)議版本進(jìn)行加密，攻擊者無法使用drown漏洞實施攻擊，進(jìn)而幫助客戶快速屏蔽該漏洞的影響，為客戶爭取升級的時間，大禹分布式防御系統(tǒng)對drown漏洞的防御示意如下：

非web類的其他應(yīng)用，如FTP和MAIL系統(tǒng)，客戶可使用禁用SSLv2的方法進(jìn)行修復(fù)。

如何接入大禹分布式防御系統(tǒng)?

簡單說，兩步走：第一步：在騰訊云填入需要防護(hù)的網(wǎng)站域名;第二步：在您的DNS服務(wù)商處，將網(wǎng)站域名解析方式由A記錄改為CNAME記錄，CNAME域名為騰訊云提供的安全防護(hù)域名。哦了，所有服務(wù)器不再受到drown漏洞的威脅，同時還可以享受大禹分布式防御系統(tǒng)提供的超大帶寬DDoS防護(hù)、CC攻擊防護(hù)。安全，妥妥的。云小哥特別要說的是，不管您的網(wǎng)站是否部署在騰訊云上，都可以享受大禹分布式防護(hù)的服務(wù)。