1. 概述

SSL会话握手资源消耗是不对称的，每个SSL会话握手从服务器端消耗比从客户端多15倍的资源（process power）。SSL flood利用该不对称性，创建大量的SSL握手消耗服务端的资源，从而达到服务端拒绝服务的目的。

2. 正常情况

SSL handshake后会立刻发送application data，上层协议数据发送/处理完成后，连接关闭。

3. SSL flood -- 服务端不支持SSL重协商

• 攻击： 发送SSL handshake后不再发送application data。
• 防护： *******************

4. SSL flood -- 服务端支持SSL重协商

• 攻击： 建立大量SSL连接，并在每条连接上发送大量的SSL重协商。
• 防护： 统计一个SSL连接在一段时间内SSL重协商次数，超过某数值则认为是攻击，断连接。

5. 工具

• thc-ssl-dos
• 使用法法： thc-ssl-dos -l 500 $ip $port --accept