2011年報出的Openssl重新密鑰協商會導致DoS攻擊，漏洞報出后沒多久一個黑客組織放出了DoS攻擊工具，這個代號CVE-2011-1473的漏洞至今openssl upstream并沒有具體的修復方案，這個爛攤子留給了具體的應用程序開發者，比如Apache2給了相應的配置文件可以直接關閉密鑰重新協商：

服務器端的重新密鑰協商的開銷是客戶端的15倍，在帶寬足夠的情況下一臺i7的CPU可以fuc*掉足夠多的服務器，以下是測評數據：

測試環境：SLES 11 SP2 , 虛擬機中分配了2 cores + 1GB內存

Case I:

Server: openssl s_server -key server-key.pem
Client: thc-ssl-dos 192.168.0.1 4433 --accept -l 10000

最壞的情況：

 Cpu0 : 1.3%us, 1.7%sy, 0.0%ni, 97.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Cpu1 : 53.1%us, 5.1%sy, 0.0%ni, 37.1%id, 0.0%wa, 0.0%hi, 0.7%si, 0.0%st

Case II:  使用了開源加固方案，在netfilter上限制連接的速率和用固定的特征碼去匹配

#sh iptables.sh

#iptables -A INPUT -d 192.168.0.1 -p tcp --dport 4433 -j LIMIT_RENEGOCIATION

Server: openssl s_server -key server-key.pem
Client: thc-ssl-dos 192.168.0.1 4433 --accept -l 10000

最壞的情況：

Cpu0  :  0.0%us,  0.0%sy,  0.0%ni,100.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Cpu1  :  0.0%us,  0.7%sy,  0.0%ni, 99.3%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st