Browse files

Add mention of ssl squeeze to SSL DoS article

  • Loading branch information...
1 parent 211b4e0 commit 8363b101032c18ee1072e96b62a6fc727c68470a @vincentbernat committed Nov 16, 2011
Showing with 13 additions and 0 deletions.
  1. +6 −0 content/en/blog/2011-ssl-dos-mitigation.html
  2. +7 −0 content/fr/blog/2011-dos-ssl-solutions.html
View
6 content/en/blog/2011-ssl-dos-mitigation.html
@@ -299,6 +299,11 @@
message before the computation is complete (for example, if the size
does not match the size of the certificate).
+**UPDATED:** Michał Trojnara has written [sslsqueeze][sslsqueeze], a
+similar tool. It uses `libevent2` library and should display better
+performances than mine. It does not compute a valid key exchange
+message but ensure the length is correct.
+
With such a tool and 2048bit RSA certificate, a server is using 100
times more processing power than the client. Unfortunately, this means
that most solutions, except rate limiting, exposed on this page
@@ -331,6 +336,7 @@
[brute-shake]: https://github.com/vincentbernat/ssl-dos/blob/master/brute-shake.c "Tool to emit massive parallel SSL handshakes"
[server-vs-client]: https://github.com/vincentbernat/ssl-dos/blob/master/server-vs-client.c "Tool compare processing power needed by client and server"
[iptables]: http://linux.die.net/man/8/iptables "Manual page of iptables(8)"
+[sslsqueeze]: ftp://ftp.stunnel.org/sslsqueeze/ "sslsqueeze, SSL service load generator"
{# Local Variables: #}
{# mode: markdown #}
View
7 content/fr/blog/2011-dos-ssl-solutions.html
@@ -339,6 +339,12 @@
le message est invalide avant d'avoir terminé l'intégralité du calcul
(par exemple, si sa longueur est incorrecte).
+**MISE À JOUR :** Michał Trojnara a développé [sslsqueeze][sslsqueeze], un
+outil similaire. Les principales différences sont l'utilisation de
+`libevent2` qui permet d'obtenir de meilleures performances que
+l'utilisation des _threads_ et le fait d'envoyer un message _Client
+Key Exchange_ erroné mais tout de même de la bonne taille.
+
Avec un tel outil et un certificat RSA de 2048 bits, le serveur a
besoin de 100 fois plus de puissance de calcul que le client. Cela
signifie notamment que la plupart des solutions exposées auparavant
@@ -371,6 +377,7 @@
[brute-shake]: https://github.com/vincentbernat/ssl-dos/blob/master/brute-shake.c "Outil pour émettre en masse des poignées de mains SSL"
[server-vs-client]: https://github.com/vincentbernat/ssl-dos/blob/master/server-vs-client.c "Outil de comparaison du rapport de puissance entre un client et un serveur"
[iptables]: http://linux.die.net/man/8/iptables "Page de manuel pour iptables(8)"
+[sslsqueeze]: ftp://ftp.stunnel.org/sslsqueeze/ "sslsqueeze, SSL service load generator"
{# Local Variables: #}
{# mode: markdown #}

0 comments on commit 8363b10

Please sign in to comment.