简介
THC-SSL-DOS 是一款用于验证 SSL 性能的工具。
建立安全的 SSL 连接需要服务器比客户端高 15 倍的处理能力。
THC-SSL-DOS 利用这种不对称特性,通过使服务器过载并使其断网。
此问题影响当今所有 SSL 实现。供应商自 2003 年以来就已意识到这个问题,并且该话题已被广泛讨论。
此攻击进一步利用 SSL 安全重新协商功能,通过单个 TCP 连接触发数千次重新协商。
一种通过在服务器端触发处理器密集型 RSA_encrypt() 调用来对 SSL 握手进行压力测试的工具。
安装
源码安装
通过以下命令来进行克隆项目源码,建议请先提前挂好代理进行克隆。
bash
git clone https://github.com/azet/thc-tls-dos.git
进入目录并查看。
bash
cd thc-tls-dos/
ls
配置编译参数
bash
./configure
编译
bash
make all
进入 src 目录并查看,此时可以看到已经生成了一个 thc-tls-dos 的文件。
bash
cd src/
ls
运行以下命令,如果出现这个界面,就说明安装成功了。
bash
./thc-ssl-dos -h
APT包管理器安装
Kali Linux 默认已经安装好 thc-ssl-dos 工具了。如果还未安装的话,也可以通过以下命令来进行安装。
bash
sudo apt install thc-ssl-dos使用
1. -h
帮助
bash
thc-ssl-dos -h
2. -l <n>
限制并行连接数默认值:400
bash
thc-ssl-dos -l 400 ip地址 443 --accept
常规使用
使用 100 个连接(-l 100),淹没目标 IP(192.168.174.223)和端口(443)
注意:请使用"--accept "选项确认该 IP 为合法目标,并且您拥有针对该目标执行测试的完全授权。如果没有添加 --accept 选项的话是不会运行的。
bash
语法:thc-ssl-dos [options] <ip> <port>
options:选项
<ip>:目标ip
<port>:目标端口
thc-ssl-dos -l 100 192.168.174.223 443 --accept
总结
THC-SSL-DOS 是一款专注于 SSL 握手过程的拒绝服务攻击工具,其利用服务器在 TLS 握手阶段所需的高计算资源,以极低的客户端成本发动有效的资源耗尽攻击。通过实际测试可以看出,尽管现代服务器在抗压设计上有所优化,但面对大量并发 SSL 握手请求仍可能出现性能瓶颈。该工具既适用于验证 Web 服务在高强度加密连接下的抗压能力,也提醒我们关注 SSL/TLS 层的安全防护策略。合理使用此类工具,有助于提升系统健壮性,发现潜在风险点。
在此特别强调,本教程仅在合法授权的情况下进行测试和研究,请勿用于其他用途。未经授权使用此类工具可能会侵犯他人隐私,触犯相关法律,任何因此引发的法律或利益纠纷与本人无关。
欢迎各位大佬,小白来找我交流。