什么是ssl剥离攻击

SSL剥离攻击是一种将HTTPS安全的超文本传输协议降级为HTTP协议，使得所有的通信都不加密。HTTPS相比HTTP是多了一个SSL证书，黑客位于连接的中间，自己连接到站点的HTTPS版本，并把用户连接到站点的HTTP版本，SSL剥离又被称之为HTTP降级攻击。SSL剥离可能会导致安全风险，比如黑客窃听私人信息，甚至在合法用户不知情的情况下改变数据或通信。

预防SSL剥离攻击是措施有：

• 为您自己的全网站启用SSL：通常是在任何需要用户输入信息的网页上启用SSL，这是一个很好的开始。但是最好的做法是在整个网站上启用SSL——即使是不需要用户输入任何信息的页面——以避免从HTTP到HTTPS出现任何漏洞，确保更完整的保护。当您在SSL站点范围内启用SSL时，如果现代浏览器无法验证通过HTTPS连接的站点证书，他们甚至会为用户标记一个问题。这有助于提醒用户，继续访问连接可能会使他们容易受到攻击。

• 在公司计算机上实施HSTS策略：HSTS表示HTTP严格传输安全，并建立制度，即规定浏览器不应该打开没有HTTPS连接的页面，并且尽可能将用户从站点的HTTP版本重定向到站点的HTTPS版本。在所有公司拥有的设备上实施这种类型的制度可以防止用户访问不安全的网站，因为这意味着他们将无法打开通过HTTP连接的页面。

• 为所有公司用户启用安全的Cookie：所有网站都使用Cookie的话，能够在会话过程中识别和记住用户。为公司的所有用户启用安全Cookie意味着其他浏览器使用的所有Cookie将具有安全属性，只能通过安全的HTTPS连接发送，而不是不安全的HTTP连接发送。

• 教育告知用户有关潜在的漏洞：最后教育告知用户潜在的漏洞也有很大帮助。最大的教育要点之一是告知用户不要通过公共wifi网络进行连接，而是始终使用VPN连接。此外，与用户分享警告标志很有帮助，比如鼓励他们检查他们访问的任何网站的URL，以确保用的是HTTPS而不是HTTP，并注意URL栏中的挂锁，如果连接不安全的话，挂锁将解锁或有一个红色叉在上面。

• URI监测：在指定的时间内，某一个URI的访问量要是过高，Anti-DDoS就会针对这种情况启动URI行为检测，如果检测出来的访问数超过规定的阈值，超出的IP访问数就会被判定加入动态黑名单。所以在配置URI监测时，可将消耗内存或计算资源多、容易受攻击的URI加入“重点监测URI”列表。

• HTTP源统计：HTTP源统计是在基于目的IP流量异常的基础上，再启动针对源IP流量进行统计。Anti-DDoS设备首先对到达目的IP的流量进行统计，当目的IP流量触发告警阈值时，再启动到达这个目的IP的每个源的流量进行统计，判定具体某个源流量异常，并对源IP的流量进行限速。HTTP源统计功能可以更准确的定位异常源，并对异常源发出的流量进行限速。