Die Anfrage einer sicheren Verbindung von einem Server ist eine einfache Aufgabe für einen Client. Der Server, der diese sichere Verbindung bereitstellt, verbraucht jedoch eine große Menge an Rechenleistung. Ein SSL-Flut- oder Neuverhandlungsangriff macht sich diese asymmetrische Arbeitslast zunutze, indem er eine sichere Verbindung anfragt und diese Anfrage dann neu verhandelt. Dies sind zwei einfache Prozesse für den Client, die auf der Serverseite jedoch viel Rechenleistung erfordern.
Ein F5-Kunde war das ursprüngliche Ziel dieser Art von Angriff. Das Außendienstteam von F5 konnte den großen und koordinierten Angriff mithilfe des BIG-IP-Systems und der F5-Skriptsprache iRules abwehren.
Diese iRule, die jetzt über die F5-DevCentral-Online-Community verfügbar ist, besagt, dass die Verbindung stillschweigend unterbrochen wird, wenn ein Gerät mehr als fünf Mal innerhalb eines Zeitraums von 60 Sekunden versucht, neu zu verhandeln.
Der größte Vorteil dieses Ansatzes besteht darin, dass der Angreifer glaubt, dass der Angriff noch funktioniert und im Gange ist, während der Server in Wirklichkeit die Anfrage ignoriert hat und stattdessen gültige Benutzeranfragen verarbeitet.