简介

THC-SSL-DOS 是一款用于验证 SSL 性能的工具。

建立安全的 SSL 连接需要服务器比客户端高 15 倍的处理能力。

THC-SSL-DOS 利用这种不对称特性，通过使服务器过载并使其断网。

此问题影响当今所有 SSL 实现。供应商自 2003 年以来就已意识到这个问题，并且该话题已被广泛讨论。

此攻击进一步利用 SSL 安全重新协商功能，通过单个 TCP 连接触发数千次重新协商。

一种通过在服务器端触发处理器密集型 RSA_encrypt() 调用来对 SSL 握手进行压力测试的工具。

安装

源码安装

通过以下命令来进行克隆项目源码，建议请先提前挂好代理进行克隆。

git clone https://github.com/azet/thc-tls-dos.git

进入目录并查看。

cd thc-tls-dos/
ls

 

配置编译参数

./configure

编译

make all

进入 src 目录并查看，此时可以看到已经生成了一个 thc-tls-dos 的文件。

cd src/
ls

运行以下命令，如果出现这个界面，就说明安装成功了。

./thc-ssl-dos -h

APT包管理器安装

Kali Linux 默认已经安装好 thc-ssl-dos 工具了。如果还未安装的话，也可以通过以下命令来进行安装。

sudo apt install thc-ssl-dos

使用

1. -h

帮助

thc-ssl-dos -h

2. -l <n>

限制并行连接数[默认值：400]

thc-ssl-dos -l 400 ip地址 443 --accept

 

常规使用

使用 100 个连接（-l 100），淹没目标 IP（192.168.174.223）和端口（443）

注意：请使用“--accept”选项确认该 IP 为合法目标，并且您拥有针对该目标执行测试的完全授权。如果没有添加 --accept 选项的话是不会运行的。

语法：thc-ssl-dos [options] <ip> <port>options:选项
<ip>:目标ip
<port>:目标端口thc-ssl-dos -l 100 192.168.174.223 443 --accept

总结

THC-SSL-DOS 是一款专注于 SSL 握手过程的拒绝服务攻击工具，其利用服务器在 TLS 握手阶段所需的高计算资源，以极低的客户端成本发动有效的资源耗尽攻击。通过实际测试可以看出，尽管现代服务器在抗压设计上有所优化，但面对大量并发 SSL 握手请求仍可能出现性能瓶颈。该工具既适用于验证 Web 服务在高强度加密连接下的抗压能力，也提醒我们关注 SSL/TLS 层的安全防护策略。合理使用此类工具，有助于提升系统健壮性，发现潜在风险点。

在此特别强调，本教程仅在合法授权的情况下进行测试和研究，请勿用于其他用途。未经授权使用此类工具可能会侵犯他人隐私，触犯相关法律，任何因此引发的法律或利益纠纷与本人无关。

欢迎各位大佬，小白来找我交流。