Назад | Перейти на главную страницу

Как провести стресс-тестирование серверов SSL?

Я пытаюсь проверить, умирает ли веб-сервер, когда SSL-соединения "разрываются" в различных точках установления связи SSL и т. Д.

Мне показалось, что я однажды видел инструмент, который «стресс-тестирует» SSL-соединения, отправляя им различные входные данные, некоторые из которых усечены. Кто-нибудь слышал о таком? Никакие поисковые запросы, похоже, не обнаруживают ничего, кроме «нагрузочных тестов» для веб-серверов.

подход системного администратора

Популярные реализации TLS уже обслуживают огромное количество соединений, некоторые из которых исходят от людей, пытающихся их разорвать. Процедуры патч-тестирования может быть достаточно. Во-первых, позвольте тестировщикам сообщества и первым пользователям попробовать это. Затем ваши тестовые среды с типичными рабочими процессами. Наконец, постепенное внедрение в продакшн, где это возможно, вызовет большой трафик.

подход к информационной безопасности

Если вашей сборке не уделяется столько внимания, возможно, вы захотите ее сломать. Конечно, для поиска новых проблем потребуется нечто большее, чем просто пассивное использование. Безопасность.SE имеет опыт работы с TLS в частности и с отказом в обслуживании в целом.

Что касается инструментов, ищите ориентированные на TLS наборы тестов и пуховики. Они делают недопустимые или экзотические вещи. Например, помидор42 / tlsfuzzer. У меня нет особого опыта в этом, но он имеет нетривиальное количество функций и может быть запущен на любом сервере TLS.

Вот еще один способ проверить конкретную реализацию: «badssl.com», например вы можете запросить такие вещи, как very.badssl.com, 1000-sans.badssl.com и т. д.

ссылка:https://github.com/crystal-lang/crystal/commit/039673d3d99b3defe3b0f2f8e3f2dd87ef29ccbc