R U Dead Yet? (R.U.D.Y.)攻撃

R.U.D.Y.は、正当なトラフィックを模倣するlow-and-slow攻撃ツールです。これはサーバーを際限なく拘束します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • R.U.D.Y.ツールの定義
  • R.U.D.Y.を使用してWebサービスを中断する方法の説明
  • R.U.D.Y.攻撃を軽減するための2つの戦略の概要

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

R.U.D.Y.攻撃とは?

「R U Dead Yet?」(R.U.D.Y.)は、不当に遅いペースでフォームデータを送信することによりWebサーバーを拘束することを目的とするサービス拒否攻撃ツールです。R.U.D.Y.エクスプロイトは、大量の迅速なリクエストでサーバーを圧倒するのではなく、いくつかの引き出したリクエストを作成することに焦点を合わせているため、ローアンドスロー攻撃に分類されます。成功したR.U.D.Y. 攻撃により、被害者の配信元サーバーが正当なトラフィックに利用できなくなります。

R.U.D.Y.ソフトウェアにはユーザーフレンドリーなポイントアンドクリックインターフェイスが含まれているため、攻撃者はツールを脆弱な標的に向けるだけで済みます。ツールがフォームフィールドをスニッフィングし、フォーム送信プロセスを悪用することで機能するため、フォーム入力を受け入れるWebサービスは、R.U.D.Y.攻撃に対して脆弱です。

R.U.D.Y.攻撃の仕組みとは?

R.U.D.Y.攻撃は、次のステップに分類できます:

  1. R.U.D.Y.ツールは、被害者のアプリケーションを這い回り、フォームフィールドを探します。
  2. フォームが見つかると、ツールは正当なフォーム送信を模倣するために HTTP POSTリクエストを作成します。このPOSTリクエストには、非常に長いコンテンツが送信されようとしていることをサーバーに警告するヘッダー*が含まれます。
  3. 次に、ツールはフォームデータを送信するプロセスを遅延させます。フォームデータを1バイトずつのパケットに分割し、これらのパケットをそれぞれ約10秒のランダムな間隔でサーバーに送信します。
  4. ツールはデータを無期限に送信し続けます。 Webサーバーは、接続を開いたままにしてパケットを受け入れます。攻撃の動作は、フォームデータを送信する接続速度が遅いユーザーの動作と似ているためです。一方で、正当なトラフィックを処理するWebサーバーの能力は低下します。

R.U.D.Y.ツールは、1つのWebサーバーをすべて標的とするこれらの低速なリクエストを同時に作成できます。Webサーバーは一度に非常に多くの接続しか処理できないため、R.U.D.Y.攻撃が利用可能なすべての接続を拘束する可能性があり、Webサーバーにアクセスしようとする正当なユーザーはサービスを拒否されます。多数の接続を使用できる堅牢なWebサーバーでさえ、同時に攻撃を実行しているコンピューターのネットワークを介してR.U.D.Y.によって停止される可能性があり、これは分散サービス妨害(DDoS)攻撃として知られています。

* HTTPヘッダーは、HTTPリクエストまたは応答とともに送信されるキー/値のペアであり、使用されているHTTPバージョン、コンテンツの言語、配信されているコンテンツの量などの重要な情報を提供します。

R.U.D.Y.攻撃を止める方法

ローアンドスロー攻撃は、従来のサービス拒否攻撃よりもはるかに巧妙に実行されるため、検出が困難になる可能性がありますが、それらを防止するために保護を配置することができます。そのような防止策の1つは、Webサーバーでより厳しい接続タイムアウト間隔を設定することです。これは、最も遅い接続が切断されることを意味します。このソリューションには副作用があります。インターネット接続が遅い正当なユーザーは、サーバーによるサービスを拒否される可能性があります。または、CloudflareのDDoS保護などのリバースプロキシソリューションは、正当なユーザーを切断せずに、R.U.D.Y.攻撃などのローアンドスロー攻撃トラフィックを除外できます。