在两个月前的一次演示中，研究人员表明，运行不同协议但具有兼容证书（如通配符、多域）的TLS服务器可以通过应用层协议内容混淆攻击进行攻击。

加密DNS和验证DNS安全扩展（DNSSEC），怎么防御ddos打打公网ip，以防止DNS重定向可能将目标用户置于恶意位置。

美国国家安全局称[PDF]羊驼是一种复杂的利用技术，可以采取多种形式，这种攻击的现实场景需要以下几点：

这为窃取会话cookie、私人用户数据和在易受攻击的服务器环境中执行任意代码打开了大门。

使用羊驼技术，对手可以使受害者的web浏览器信任并执行恶意服务反映的响应，该服务使用正确的证书签名。

满足这些"相对罕见条件"的威胁行为人至少能够进行网络钓鱼、水坑、恶意攻击，或中间人（MitM）攻击。

通配符数字证书可用于同一域上的多个子域，因此它可以覆盖多个服务器（例如电子邮件、FTP、应用程序），而多域证书用于单个IP地址上的多个域。

因此，他们应确保保护通配符证书的私钥，ddos防御能放cc吗，并将其保存在维护良好的服务器上，ddos系列ddos攻击防御，ddos分布式集群防御，以避免攻击者通过破坏安全性差的机器而获取该私钥的风险。

降低通配符证书风险

在服务器（包括非HTTP服务器）前面使用应用网关或Web应用防火墙（WAF）是该机构的另一项建议。

公司应确定这些证书的私钥存储位置，并使用证书范围内所有应用程序要求的安全级别。

他们将该技术命名为ALPACA，是允许跨协议攻击的应用层协议的缩写，并指出，满足特定条件的恶意参与者至少可以窃取cookie或执行跨站点脚本攻击。

羊驼可以咬人

NSA还提醒组织通配符证书在信任体系结构中的作用，因为它们"可用于表示其范围内的任何系统"。

NSA还建议在可能的情况下启用应用层协议协商（ALPN），并保持浏览器更新到其最新版本。

美国国家安全局（NSA）警告使用范围广泛的证书对组织中的多台服务器进行身份验证会带来危险。

该机构指的是通配符或多域数字证书所带来的危险，这些证书验证服务器身份，允许通过传输层安全（TLS）加密协议进行可信、安全的连接。

NSA建议各组织确保负责任地使用通配符证书，ddos防御系统的，并充分了解其在组织内的范围。

在上周发布的一份文件中，该机构针对使用通配符证书带来的风险提供了缓解措施。其中包括最近公开的羊驼技术，可用于各种流量重定向攻击。