阿里雲負載均衡存在TLS ROBOT Attack

2021-10-06 18:12:20 字數 1218 閱讀 5980

負載均衡(server load balancer)是將訪問流量根據**策略分發到後端多台雲伺服器(ecs例項)的流量分發控**務。負載均衡擴充套件了應用的服務能力,增強了應用的可用性。

阿里雲 slb 的負載均衡:目前有七層和四層

四層和七層監聽的請求報文互動情況:

詳細資訊

抓包環境介紹

47...241:客戶端公網ip。

121...252:slb公網ip。

172...252:後端ecs的內網ip。

tcp四層監聽報文

面向連線的協議,在正式收發資料前,必須和對方建立可靠的連線,在網路層可直接看到**位址。當slb對流量進行**時,請求報文僅經過lvs,然後透傳到後端伺服器(單從入方向的請求來看,slb的角色與直接繫結在ecs上的eip角色類似)。

後端伺服器報文:直接與客戶端公網ip三次握手後,建立tcp連線。

客戶端側報文:與slb公網ip三次握手後,建立tcp連線。

http七層監聽報文

後端伺服器不直接與客戶端建立連線,slb只作為反向**,請求處理過程中,經過lvs與tengine集群(https在首次請求時還需要經由key server)。

後端伺服器報文:tcp連線與slb回源ip(一般為100段)三次握手後,建立tcp連線。

客戶端側報文:tcp連線與slb公網ip三次握手後,建立tcp連線。

tls robot存在於傳輸層安全(tls)協議,影響使用pkcs #1 v1.5填充的rsa加密和簽名的伺服器,在該漏洞下,攻擊者能夠在不獲取**的私鑰的前提下,解密通訊雙方的密文。這是一種自適應的密文選擇攻擊。

威脅程度:中等

更多參考:the tls robot attack

目前發生的問題,主要針對的是上面介紹的阿里負載均衡的七層協議,四層協議因為放在後端處理的沒有這個漏洞。但採用四層協議的方式,tls協議處理的話必須在系統內部處理,這樣的話必須重新啟動客戶系統,造成業務中斷。

個人建議阿里這邊針對tls協議能夠像微軟雲那樣可以進行定製化處理(如下圖):

tls robot attack 的測試方法和修復方案如下:

檢查方法:

修復方案:

阿里雲負載均衡SLB

slb 簡單來講就是slb系統也是乙個由多台計算機構成的集群。使用者在這個系統中申請和配置了乙個slb的例項對外提供服務,針對該slb例項的訪問請求會通過我們的系統按照使用者設定的規則向後端的多台ecs進行 那麼當我們系統內的某一台計算機出現問題的時候,其他的計算機可以承擔本應由其處理的任務而保證整...

阿里雲建立負載均衡

開啟阿里雲的官方 登入進入到控制台,點選左側的負載均衡,進入到負載均衡的頁面 2.進入到負載均衡頁面,點選建立負載均衡,進入到負載均衡建立頁面,收費方式分為預付費模式,按量付費模式 3.選擇好各項配置之後 地域,例項型別,主備可用區,收費方式等 點選立即購買,完成付費即可 建立完成如下圖 4.接下來...

阿里雲負載均衡怎麼配置?

很多人對負載均衡一頭霧水,不知道怎麼用,流程順序的是什麼的。第一步建立雲伺服器ecs例項,使用負載均衡服務前,您需要至少建立2臺雲伺服器ecs例項。建立例項,說白了就是買 租用阿里雲的雲伺服器ecs 第二步建立ecs例項後,您需要在ecs上部署相關應用。可參考教程 如何將1個專案部署到多台伺服器上?...