我正在尝试测试当 SSL 连接在 SSL 握手等的各个点上“切断”时,Web 服务器是否会崩溃。
我以为我曾经见过一个工具,它可以通过向 SSL 连接发送各种输入(有些是截断的)来对其进行“压力测试”。有人听说过类似的东西吗?无论怎么谷歌搜索,似乎都找不到比“网络服务器负载测试”更多的内容。
答案1
系统管理员方法
流行的 TLS 实现已经服务了大量的连接,其中一些来自试图破坏它们的人。补丁测试程序可能就足够了。首先,让社区测试人员和早期采用者试用它。然后,使用典型工作流程的测试环境。最后,逐步推广尽可能投入生产将会带来大量的流量。
信息安全方法
如果您的构建没有受到太多关注,您可能想尝试打破它。当然,寻找新问题需要的不仅仅是被动使用。安全.SE在 TLS 方面有专门的经验,并且在拒绝服务方面有一般经验。
关于工具,寻找面向 TLS 的测试套件和模糊测试器。这些会做无效或奇怪的事情。例如,tomato42/tlsfuzzer。我对此没有具体经验,但它具有大量功能,并且可以针对任何 TLS 服务器运行。
答案2
这是测试特定实现的另一种方法:“badssl.com”,例如,您可以请求 very.badssl.com、1000-sans.badssl.com 等。
參考文獻:https://github.com/crystal-lang/crystal/commit/039673d3d99b3defe3b0f2f8e3f2dd87ef29ccbc