SSL再ネゴシエーション攻撃に対する防御

攻撃説明

SSLハンドシェイクを実行すると、クライアントとサーバのリソース消費は非対称になり、サーバ側のリソースオーバーヘッドはクライアントの約15倍になります。
攻撃者は、SSL再ネゴシエーションを通じてこの(非対称)特性を悪用してサーバリソースを消費し、サーバが通常の要求に応答できないようにします。

防御原則

チェック期間が設定され、チェック期間中に再ネゴシエーションの数が設定されたしきい値を超えると、SSLセッションは攻撃と判断され、システムはセッションをブロックします。
動的に配布する自動IPブラックリスト機能が有効になっている場合、システムはクライアントのソースIPアドレスを自動IPブラックリストに送信します。

ASFでの操作

HTTPSタイプのアプリケーションDDoSプロファイルのSSL再ネゴシエーション攻撃の防御ルールを構成します。