1、升级 OpenSSL 版本,至少到 1.0.1u 或 1.0.2v 版本。新版本 OpenSSL 包含了对 Sweet32 攻击漏洞的修复。您可以通过以下命令检查您当前的 OpenSSL 版本:
openssl version
2、禁用 3DES 密码套件。由于 Sweet32 攻击利用 3DES 加密算法中的漏洞,因此禁用 3DES 密码套件可以缓解 Sweet32 攻击的风险。可以通过以下方式禁用 3DES 密码套件(对于 Apache HTTP Server,在 SSL 配置文件(例如 ssl.conf)中,找到 SSLCipherSuite 指令,并将其修改为以下值:)
SSLCipherSuite HIGH:!3DES:!aNULL:!MD5
测试:
nmap -sV --script ssl-enum-ciphers -p 443 support.xxxxx.com.cn
结果:
发表评论