警惕Hash Collision Dos.pdf

【警惕Hash Collision Dos】这篇文档主要讨论了一种名为“Hash Collision Dos”的网络安全威胁，这种攻击方式利用了哈希表（HashTable）的冲突特性对Web服务器进行拒绝服务（Denial of Service，DoS）攻击。哈希表在处理HTTP请求参数时，如果攻击者构造特定的键（k）值，可能导致哈希表退化为链表，极大地降低查找和插入效率，进而消耗大量CPU资源，使服务器性能急剧下降。 哈希冲突是哈希表中的一个常见问题，当两个不同的键通过哈希函数映射到相同的槽位时，就会发生冲突。正常情况下，哈希表通过散列算法尽量减少冲突，保持较高的查找效率。但在遭受Hash Collision Dos攻击时，攻击者会发送大量经过精心设计的键值，引发大量冲突，使得哈希表的性能降低到类似链表的水平，导致服务器响应速度变慢，甚至瘫痪。 文中提到了几个防御措施，建议使用公开的、快速的哈希算法，但即使如此，也不能完全防止攻击。可以通过口令规避策略，比如使用云查询服务来避免已泄露密码的使用，或者采用微软的动态均衡策略，限制某些密码的使用频率。然而，这些策略都有其弱点，如动态均衡策略需要单独保存密码统计，一旦泄露，也会带来风险。 此外，文章还探讨了使用加密硬件的可能性，通过物理隔离防止加密参数被非法获取，但这种方法需要考虑加速登录操作的性能需求，以及适应虚拟化环境。在运维策略层面，建议对网银和柜台交易系统采取不同的口令策略，并提倡网站自动生成大量假用户混淆攻击者视线，同时在存储的密码值上设置误导型算法，即使攻击者通过Hash碰撞得到结果，也无法成功登录。 文章指出，针对Hash Collision Dos的扰动因素可能比加密策略本身更为有效，因为即使攻击者能触发碰撞，但如果无法登录，他们可能会放弃攻击。防范此类攻击需要综合考虑算法选择、数据处理策略、硬件安全和运维策略等多个方面。