影响1100万网站的漏洞出没作妖，工程师急cry，怎么办？

本是阳春三月好时光，OpenSSL却在此时爆出了高危漏洞drown，一时间让运维小哥们头顶阴云笼罩。这个在安全圈掀起惊涛骇浪的drown漏洞到底是何方妖孽？！运维同学们该如何将它消灭？且听云小哥为您解答。drown漏洞是什么？

在北京时间2016年3月2日，OpenSSL官方发布安全公告，公布了一利用SSLv2协议弱点来对TLS进行跨协议攻击的安全漏洞CVE-2016-0800，即drown漏洞，影响使用了SSLv2协议的用户。

攻击者可利用这个漏洞来对服务器的TLS会话信息进行破解，获取用户与服务器间的任意通信流量。内容包括但不限于用户名，密码，邮箱以及图片文档等隐私信息。其攻击示意如下：

  class="fancybox_content" href="/uploads/images/2016/234/li5w5z03OitA.jpg?rand=108"

虽然SSLv2是一种比较古老的协议，但据统计互联网上仍然有17% 的https 服务允许使用SSLv2 协议连接。

如何判断是否受drown漏洞影响？ 

好了，那如何判断自己的网站是否收到了drown漏洞的影响，您可以通过以下网站快速进行检测，https://test.drownattack.com/?site=你的站点，例如我们输入某知名搜索引擎域名进行测试，右方出现的被标识为vulnerable的IP就是该域名下受drown漏洞影响的服务器IP了。

class="fancybox_content" href="/uploads/images/2016/43/liqeBYOWl71zw.jpg?rand=83"

 输入自家网站测试之后，看见自己服务器被标识为vulnerable，运维小哥的内心是否虎躯一震，内心千万头神兽呼啸而过。不要担心，让云小哥为您支招。

如何修复drown漏洞？ 

如何修复drown漏洞，云小哥有两个大招推荐：

（1）较早招：主动禁用所有服务器中的SSLv2协议：

要将所有用到SSL的服务器禁用SSLv2

如果无法禁用SSLv2，则需要进行OpenSSL 版本升级，将OpenSSL 1.0.2 升级至OpenSSL 1.0.2g，OpenSSL 1.0.1升级至OpenSSL 1.0.1s。其他版本升级到1.0.1和1.0.2的无影响版本

但这一招是要禁用所有服务器或者升级OpenSSL组件，看着那密密麻麻的IP列表，特别是难以一次全量梳理的网站域名/IP和各业务间依赖关系，运维小哥的内心想必是再度崩溃的，莫要捉急，云小哥还有第二个大招推荐。

（2）第二招：网站类业务接入腾讯云大禹分布式防御系统：

在各类企业应用中，Web服务器往往占用主要SSL使用比例，并且往往由于域名多、业务间依赖复杂、历史遗留问题等难以一次全量梳理并快速升级。如果任一个地方遗漏则可能成为安全短板，事倍功半。

 大禹具备接入简单、平滑的特点。并大禹已在所有节点上禁用SSLv2，大禹节点配置不受漏洞影响。客户只需要将其域名流量接入大禹，其业务即可平稳、快速的“升级”到安全的TLS/SSL版本。此时由于客户端到大禹节点间的流量全部使用安全的HTTPS协议版本进行加密，攻击者无法使用drown漏洞实施攻击，进而帮助客户快速屏蔽该漏洞的影响，为客户争取升级的时间，大禹分布式防御系统对drown漏洞的防御示意如下：

class="fancybox_content" href="/uploads/images/2016/99/liaAijth0kuVU.jpg?rand=166"

非web类的其他应用，如FTP和MAIL系统，客户可使用禁用SSLv2的方法进行修复。

如何接入大禹分布式防御系统？

简单说，两步走：

较早步：在腾讯云填入需要防护的网站域名；

第二步：在您的DNS服务商处，将网站域名解析方式由A记录改为CNAME记录，CNAME域名为腾讯云提供的安全防护域名；

哦了，所有服务器不再受到drown漏洞的威胁，同时还可以享受大禹分布式防御系统提供的超大带宽DDoS防护、CC攻击防护。安全，妥妥的。

云小哥特别要说的是，不管您的网站是否部署在腾讯云上，都可以享受大禹分布式防护的服务。