本是陽春三月好時光，OpenSSL卻在此時爆出了高危漏洞drown，一時間讓運維小哥們頭頂陰云籠罩。這個在安全圈掀起驚濤駭浪的drown漏洞到底是何方妖孽?!運維同學們該如何將它消滅?且聽云小哥為您解答。drown漏洞是什么?

在北京時間2016年3月2日，OpenSSL 官方發布安全公告，公布了一利用SSLv2協議弱點來對TLS進行跨協議攻擊的安全漏洞CVE-2016-0800，即drown漏洞，影響使用了SSLv2協議的用戶。

攻擊者可利用這個漏洞來對服務器的TLS會話信息進行破解，獲取用戶與服務器間的任意通信流量。內容包括但不限于用戶名，密碼，郵箱以及圖片文檔等隱私信息。其攻擊示意如下：

雖然SSLv2是一種比較古老的協議，但據統計互聯網上仍然有17% 的https 服務允許使用SSLv2 協議連接。

如何判斷是否受drown漏洞影響?

好了，那如何判斷自己的網站是否收到了drown漏洞的影響，您可以通過以下網站快速進行檢測，https://test.drownattack.com/?site=你的站點，例如我們輸入某知名搜索引擎域名進行測試，右方出現的被標識為vulnerable的IP

就是該域名下受drown漏洞影響的服務器IP了。

輸入自家網站測試之后，看見自己服務器被標識為vulnerable，運維小哥的內心是否虎軀一震，內心千萬頭神獸呼嘯而過。不要擔心，讓云小哥為您支招。

如何修復drown漏洞?

如何修復drown漏洞，云小哥有兩招推薦：

(1)第一招：主動禁用所有服務器中的SSLv2協議：

要將所有用到SSL的服務器禁用SSLv2

如果無法禁用SSLv2，則需要進行OpenSSL 版本升級，將OpenSSL 1.0.2 升級至OpenSSL 1.0.2g，OpenSSL 1.0.1升級至OpenSSL 1.0.1s。其他版本升級到1.0.1和1.0.2的無影響版本

但這一招是要禁用所有服務器或者升級OpenSSL組件，看著那密密麻麻的IP列表，特別是難以一次全量梳理的網站域名/IP和各業務間依賴關系，運維小哥的內心想必是再度崩潰的，莫要捉急，云小哥還有第二個大招推薦。

(2)第二招：網站類業務接入防御系統：

在各類企業應用中，Web服務器往往占用主要SSL使用比例，并且往往由于域名多、業務間依賴復雜、歷史遺留問題等難以一次全量梳理并快速升級。如果任一個地方遺漏則可能成為安全短板，事倍功半。

大禹具備接入簡單、平滑的特點。并大禹已在所有節點上禁用SSLv2，大禹節點配置不受漏洞影響。客戶只需要將其域名流量接入大禹，其業務即可平穩、快速的“升級”到安全的TLS/SSL版本。此時由于客戶端到大禹節點間的流量全部使用安全的HTTPS協議版本進行加密，攻擊者無法使用drown漏洞實施攻擊，進而幫助客戶快速屏蔽該漏洞的影響，為客戶爭取升級的時間，大禹分布式防御系統對drown漏洞的防御示意如下：

非web類的其他應用，如FTP和MAIL系統，客戶可使用禁用SSLv2的方法進行修復。

如何接入大禹分布式防御系統?

簡單說，兩步走：第一步：在騰訊云填入需要防護的網站域名;第二步：在您的DNS服務商處，將網站域名解析方式由A記錄改為CNAME記錄，CNAME域名為騰訊云提供的安全防護域名。哦了，所有服務器不再受到drown漏洞的威脅，同時還可以享受大禹分布式防御系統提供的超大帶寬DDoS防護、CC攻擊防護。安全，妥妥的。云小哥特別要說的是，不管您的網站是否部署在騰訊云上，都可以享受大禹分布式防護的服務。