随着越来越多的网络业务由明文HTTP转向加密HTTPS协议，针对HTTPS的DDoS攻击也呈快速增长趋势，包括针对SSL/TLS握手交互的攻击和针对HTTPS业务的攻击。HTTPS的DDoS防护一直是业界的一个难题，本文介绍HTTPS的DDoS攻击原理和危害，并给出防护思路和防护实践。

DDoS（Distributed Denial of Service，分布式拒绝服务）攻击的主要目的是让指定目标无法提供正常服务，甚至从互联网上消失，是目前最强大、最难防御的攻击之一。DDoS，常见网络和应用层的攻击经过长时间的对抗研究，对协议和报文内容的分析，已经形成了成熟的解决方案。

但随着用户对安全性要求的增强，以及一些政策性的强制性要求（比如苹果appstore对HTTPS的强制要求），越来越多的网络服务主动或被动的将自己的服务由HTTP切换到HTTPS。HTTPS协议在网络上传输加密的报文，传统的内容检测技术失去了效果；由于处理HTTPS连接的巨大资源消耗，让HTTPS的DDoS攻击成本较低，危害性却较大。

本文介绍常见的针对HTTPS的DDoS攻击原理，通过HTTPS的原理介绍攻击的特别之处；给出常见的防护思路和针对性防护实践。

传统的HTTP协议采用明文传输信息，存在被窃听和篡改的风险；SSL/TLS提供了身份验证、信息机密性和完整性校验功能。HTTPS基于HTTP开发，使用SSL/TLS进行加密的信息交互，在交互协议上使用了TCP、SSL/TLS和HTTP三种常见的协议。

图2.1 HTTP协议示意图

针对HTTPS的DDoS攻击也主要从TCP协议、SSL/TLS协议和HTTP协议三个方面来进行的，下面分别介绍。

此类攻击比较常见，即是普通的针对HTTPS服务器发起的SYN-Flood、ACK-Flood等，用以消耗服务器的TCP连接等资源。这类攻击不涉及HTTPS特有的协议，所有承载在TCP协议之上的服务都可能收到此类攻击。

SSL/TLS握手过程涉及非对称加密算法，对称加密算法和散列算法，其中非对称加解密是非常重量的计算消耗性工作。而大部分非对称加密算法在实际使用中，服务器的计算量远大于客户端，下面以最常使用的非对称加密算法RSA介绍，其原理如下：

2.    计算n=p*q；

3.    计算φ(n)=(p−1)(q−1);

4.    取一个与φ(n)互质的数e，1