Slowloris DDoS攻撃

Slowloris攻撃は、標的への多数の同時HTTP接続を開いて維持することにより、標的となるサーバーを圧倒しようとします。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • Slowloris DoS攻撃を定義する
  • Slowloris攻撃の仕組みを説明する
  • Slowloris攻撃のいくつかの軽減戦略を理解する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

Slowloris DDoS攻撃とは?

Slowlorisはサービス拒否攻撃プログラムで、攻撃者とターゲットの間で同時に多数のHTTP接続を開いて維持することにより、攻撃者が標的とするサーバーを圧倒できるようにします。

Slowloris攻撃図

Slowloris攻撃の仕組みとは?

Slowlorisは、部分的なHTTPリクエストを利用して動作するアプリケーション層攻撃です。攻撃は、標的とするWebサーバーへの接続を開き、その接続を可能な限り開いたままにすることで機能します。

Slowlorisは攻撃のカテゴリではなく、単一のマシンが多くの帯域幅を使用せずにサーバーを停止させられるように設計された特定の攻撃ツールです。NTP増幅などの帯域幅を消費するリフレクションベースのDDoS攻撃とは異なり、このタイプの攻撃は帯域幅を少しだけ使用し、代わりに通常よりも遅く見える以外は通常のトラフィックを模倣するリクエストでサーバーリソースを占有することを目的としています。これは「目立たず遅い」攻撃と知られる攻撃の一種です。標的とされるサーバーには、同時接続の処理に使用できるスレッドが非常に多くあります。各サーバースレッドは、遅いリクエストが完了するのを待つ間、存続しようとしますが、リクエストは完了しません。サーバーの最大接続数を超えると、追加の各接続は応答されず、サービス拒否が発生します。

Slowloris攻撃は4つのステップで発生します。

  1. 攻撃者はまず、複数の部分的なHTTP要求ヘッダーを送信することにより、標的となるサーバーへの複数の接続を開きます。
  2. 標的は、接続が完了したらスレッドを閉じることを意図して、着信要求ごとにスレッドを開きます。効率を上げるために、接続に時間がかかりすぎると、サーバーは非常に長い接続をタイムアウトし、次の要求のためにスレッドを解放します。
  3. 標的が接続をタイムアウトするのを阻止するため、攻撃者は定期的に部分的なリクエストヘッダーを標的に送信して、リクエストを有効に保ちます。要は、「私はまだいますよ!ただゆっくりなだけです、待っててくださいね。」と言っているわけです。
  4. 標的とされたサーバーは、要求の終了を待機している間、開いている部分的な接続を解放することはできません。使用可能なすべてのスレッドが使用されると、サーバーは通常のトラフィックからの追加リクエストに応答できなくなり、サービス拒否が発生します。

Slowlorisの背後にある重要な点は、帯域幅の消費をほとんどせずに多くの問題を引き起こす能力です。

Slowloris攻撃の軽減方法とは?

Slowlorisに対して脆弱なWebサーバーの場合、影響の一部を軽減する方法があります。脆弱なサーバーの軽減オプションは、大まかに3つのカテゴリに分類できます。

  1. サーバーの可用性を高める -サーバーが一度に許可するクライアントの最大数を増やすと、攻撃者がサーバーに過負荷をかけるために確立する必要がある接続の数が増えます。現実的には、攻撃者は攻撃の数を調整して、増加に関係なくサーバー容量を超過することができます。
  2. 着信リクエストのRate Limiting -特定の使用要因に基づいてアクセスを制限することでSlowloris攻撃を軽減できます。単一のIPアドレスで許可される接続の最大数を制限する、低速転送速度を制限する、クライアントが接続を維持できる最大時間を制限するなどの手法はすべて、目立たず遅い攻撃の有効性を制限するためのアプローチです。
  3. クラウドベースの保護 -配信元サーバーを保護するリバースプロキシとして機能できるサービスを使用します。

CloudflareはSlowloris攻撃をどのように軽減するのか?

Cloudflare何かを配信元サーバーに送付し始める前に、受信リクエストをバッファリングします。その結果、Slowloris攻撃のような「目立たず遅い」攻撃トラフィックは、意図した標的に到達することはありません。CloudflareのDDoS保護がslowloris攻撃をどのように阻止するか、詳細をご確認ください。