SSL再ネゴシエーション攻撃に対する防御
攻撃説明
SSLハンドシェイクを実行すると、クライアントとサーバのリソース消費は非対称になり、サーバ側のリソースオーバーヘッドはクライアントの約15倍になります。
攻撃者は、SSL再ネゴシエーションを通じてこの(非対称)特性を悪用してサーバリソースを消費し、サーバが通常の要求に応答できないようにします。
防御原則
チェック期間が設定され、チェック期間中に再ネゴシエーションの数が設定されたしきい値を超えると、SSLセッションは攻撃と判断され、システムはセッションをブロックします。
動的に配布する自動IPブラックリスト機能が有効になっている場合、システムはクライアントのソースIPアドレスを自動IPブラックリストに送信します。
ASFでの操作
HTTPSタイプのアプリケーションDDoSプロファイルのSSL再ネゴシエーション攻撃の防御ルールを構成します。