Как провести стресс-тест серверов SSL?
Я пытаюсь проверить, умирает ли веб-сервер, когда SSL-соединения «разрываются» в различные моменты установления связи SSL и т. д.
Мне показалось, что я однажды видел инструмент, который «стресс-тестирует» SSL-соединения, отправляя им различные входные данные, некоторые из которых усечены. Кто-нибудь слышал о таком? Никакой поиск в Google не обнаруживает ничего, кроме «нагрузочных тестов» для веб-серверов.
Сисадмин подход
Популярные реализации TLS уже обслуживают огромное количество соединений, некоторые из которых от людей, пытающихся их разорвать. Процедур тестирования патчей может быть достаточно. Во-первых, пусть это попробуют тестеры сообщества и ранние усыновители. Затем, ваши тестовые среды с типичными рабочими процессами. Наконец, инкрементальное развертывание к производству, где это возможно, бросит на него много трафика.
infosec подход
Если ваша сборка не получает столько внимания, возможно, вы захотите попробовать ее сломать. Конечно, поиск новых проблем потребует не только пассивного использования. Security.SE имеет опыт работы с TLS в частности и отказом в обслуживании в целом.
Что касается инструментов, ищите TLS-ориентированные тестовые наборы и фаззеры . Они делают недействительные или экзотические вещи. Например, помидоры42/тлсфуццеры. У меня нет конкретного опыта работы с этим, но он имеет нетривиальное количество функций и может быть запущен на любом сервере TLS.
.Вот другой способ протестировать конкретную реализацию: "badssl.com", например, можно запросить вещи как very.badssl.com, 1000-sans.badssl.com и т.д.
касательно: https://github.com/crystal-lang/crystal/commit/039673d3d99b3defe3b0f2f8e3f2dd87ef29ccbc