来自 网络 2021-04-08 11:20 的文章

大流量攻击防御_怎么办_syn攻击

大流量攻击防御_怎么办_syn攻击

在SSL实验室,ddos阿里防御,我们每年都要对我们的评分标准进行一次重要的审查。随着生态系统的安全性日益成熟,我们的目标是向前推进,并使[好成绩]的要求更加严格。在很多方面,这种持续改进的过程才是真正重要的美国。根据根据我们在SSL脉冲中的测量,超过40%的受监控站点的配置可以被认为是良好的。然而,防御cc用什么,只有约3%的人获得A+,这是每个人都应该追求的目标。所以我们设计评分标准的目的是推高A+网站的数量向上。向内这篇博文我们将宣布我们的短期变化,并概述一些我们将在2017年及以后做出的进一步改变。从下面的列表中,3DES分级更改将首先发生。其他变化也将随之而来。这篇博客文章的主要目的是概述我们的评分方向,以便组织能够开始计划改进。更新(2017年3月28日):第一批变更已在后续博客中进一步记录岗位处罚因为在8月底使用了现代协议(C)的3DES,安全研究人员演示了一种针对使用64位加密块的密码的攻击。这种攻击是不实际的,因为它需要非常大的流量,但它很好地提醒我们,旧的和弱的密码需要作为一个常规的问题退出。在TLS中,这意味着要避免3DES。现在,对于需要支持旧用户群的站点来说,家庭ddos防御,完全淘汰3DES可能是不可能的(提示:windowsxp),ddos防御经验,但是没有理由在现代浏览器中使用这个密码。为此,我们将修改我们的评分标准,以惩罚与TLS1.1及更新协议协商3DE的网站。这类网站的评分将以C为上限。继续支持3DE并将其保留在预定套房列表末尾的网站将不会受影响。处罚由于不使用前向保密性(B),前向安全性是安全通信的一个属性,在这种通信中,长期私钥的泄露不会影响任何过去加密的密钥对话。在TLS中,每个部署都必须决定是否提供前向保密。例如,非常流行的RSA密钥交换就不提供它。因为前向保密是最重要的事情之一,我们想更加重视它;因此,我们将很快要求A等级。我们预计这将影响目前获得A的网站中约7%(目前约为43%)。如果可能的话,我们不会惩罚那些使用没有前向保密的套房的网站,前提是他们从未与能够做到这一点的客户协商更好.AEAD自从幸运13号攻击以来,安全社区的共识是经过身份验证的加密优于CBC套件(在TLS中实现)。TLS 1.3仅支持AEAD套件。SSL实验室目前不奖励使用AEAD套件,我们希望纠正这一点。在下一次评分标准更新中,我们将开始要求A+的AEAD套房。在将来的某个时候,A将需要AEAD套件。与前向保密一样,如果站点继续使用非AEAD套件,我们将不会处罚站点,前提是AEAD套件与支持的客户协商他们。礼节降级防御2015年4月,RFC 7507引入了一种新的针对自愿协议降级攻击的防御措施该标准的全称是"用于防止协议降级攻击的TLS回退信令密码套件值(SCSV)"。因为这种防御措施弥补了一个严重的安全漏洞,SSL实验室要求服务器支持信令值(TLS_FALLBACK_SCSV)以获得a+。它的使用情况相当不错;根据8月份sslpulse的结果,66%的服务器支持这一功能特写。什么时候我们引入了这种分级变化,ddos防御清洗过程,我们的目的是最终使SCSV支持成为a的一个要求。与此同时,POODLE问世了,最终导致现代浏览器普遍删除自愿协议降级行为。目前,TLS_FALLBACK_SCSV没有很强的安全价值,因为支持它的客户机无论如何都不会降级。同时,IIS不支持RFC 7507,这意味着任何在其上运行其站点的人都不能获得A+。鉴于TLS 1.3的最新更改意味着将来的协议降级将被避免,我们将考虑取消对A+的TLS_FALLBACK_SCSV的要求。对版本不容忍的服务器的惩罚是我们的意图是为了对未来TLS协议版本不容忍的服务器引入惩罚。然而,在协议版本协商方面对tls1.3的更改意味着不宽容的服务器将不再阻碍该协议版本的部署。有鉴于此,我们目前不打算对此采取惩罚措施问题。密码分级调整当前用于分级密码的算法不能产生理想的结果,因此我们打算引入一个或两个显式规则。首先,所有弱于128位(不包括3DES)的密码都将得到F级。此外,继续支持RC4的服务器,即使它没有与现代浏览器一起使用,也将被限制在C.SHA1不推荐使用您可能已经知道,SHA1已经不推荐用于证书签名。2017年,浏览器将不再信任继续使用这种弱哈希函数进行签名的网站。与业界一致,我们也会不信任这样的站点。进一步前文所列的变动将于2017年上半年进行。我们想借此机会大致概述一下SSL实验室评分标准的未来变化。本节中列出的变化将在未来某个时间点发生,时机成熟,但很可能不会在2017年第三季度之前发生。我们将单独评估每个变化。我们希望这一早期通知能给组织更多的时间进行计划前进.HSTSA+AEAD套件所需的AHST所需的预加载适用于3DE上限为B的ASITE或继续支持A+所需RC4TLS 1.3的站点的CHarsher惩罚(以及,稍后,在适当的时候)OCSP装订(可能,在"产品和技术"中需要A+相关的SSL实验室分级更改2017年1月18日2017年1月18日SSL实验室2014年底更新2014年12月8日"产品和技术"SSL实验室分级更新:前向保密、认证加密和机器人2018年2月2日"产品和技术"