Slowlorisとは|サイバーセキュリティ.com

Slowloris|サイバーセキュリティ.com

Slowloris

Slowlorisとは、特定のウェブサーバーに対して非常にゆっくりとしたペースでHTTPリクエストを送信し続けることで、サーバーの接続を長時間占有し、新しい接続の処理を妨げることでサービス拒否(DoS)を引き起こす攻撃手法です。Slowlorisは、攻撃者が少ないリソースでサーバーを停止させることが可能であり、特にApacheのようなスレッドベースのウェブサーバーに対して効果を発揮します。この攻撃は、接続数を埋め尽くすことで、他の正当なユーザーがサーバーにアクセスできなくなることを目的としています。

Slowlorisの仕組み

Slowlorisは、以下のようなプロセスで攻撃を行い、サーバーのリソースを枯渇させます。

ゆっくりとしたHTTPヘッダーの送信

Slowlorisは、ターゲットのウェブサーバーに対してHTTPリクエストを送信し、ヘッダーを非常に遅い間隔で送り続けることで、リクエストが完了しない状態を維持します。サーバーはこの不完全なリクエストを待ち続け、接続を開いたままにするため、他の接続の処理を行えなくなります。これにより、サーバーの接続スロットが埋め尽くされ、新しい接続を受け付けることができなくなります。

限られたリソースでの攻撃

Slowlorisは、攻撃者にとって非常に効率的な攻撃手法です。少量の帯域幅やリソースで、ターゲットサーバーをダウンさせることが可能であり、攻撃側の負担が少ない一方で、ターゲット側には大きな影響を与えます。これにより、特定のサーバーを狙い撃ちして効率的に攻撃を仕掛けることができます。

影響を与える特定のサーバー

Slowlorisは特にApacheやいくつかのスレッドベースのサーバーに対して効果がありますが、NginxやIISのようなイベント駆動型のサーバーに対しては効果が限定的です。これらのサーバーは、非同期処理を行うことで接続の待機にリソースを大量に消費しないため、Slowloris攻撃の影響を受けにくいのです。

Slowloris攻撃の影響

Slowloris攻撃が成功すると、ターゲットサーバーは以下のような影響を受ける可能性があります。

サービス拒否(DoS)状態の発生

サーバーがすべての接続スロットをSlowlorisによって占有されると、正当なユーザーからのリクエストを受け付けられなくなり、サービスが停止状態になります。これにより、企業のウェブサイトやオンラインサービスが一時的に利用できなくなり、ビジネスに大きな影響を与えることがあります。

サーバーのリソース消費

Slowloris攻撃は、サーバーのリソース(接続数やスレッド、メモリなど)を消費し、パフォーマンスの低下を引き起こします。これにより、サーバーの応答速度が遅くなったり、予期しない動作を引き起こす可能性があります。

Slowloris攻撃への対策

Slowloris攻撃を防ぐためには、ウェブサーバーの設定やセキュリティ対策を強化する必要があります。以下に具体的な対策を示します。

タイムアウトの設定を短縮

ウェブサーバーの接続タイムアウトを短く設定することで、不完全なリクエストが長時間保持されることを防ぐことができます。これにより、Slowlorisのような攻撃が長時間持続することを防ぎます。

同時接続数の制限

1つのIPアドレスからの同時接続数を制限することで、攻撃者が大量の接続を確保するのを防止します。これにより、攻撃が成功しにくくなり、他の正当なリクエストへの影響を最小限に抑えることができます。

イベント駆動型サーバーの利用

イベント駆動型のウェブサーバー(例えば、Nginx)を使用することで、Slowloris攻撃の影響を軽減できます。これらのサーバーは、接続の処理に非同期方式を採用しており、スレッドベースのサーバーと比較して接続の占有に強い耐性を持っています。

ウェブアプリケーションファイアウォール(WAF)の導入

WAFを使用することで、異常なHTTPリクエストのパターンを検知し、Slowlorisのような攻撃をブロックすることができます。WAFは、リクエストの頻度やパターンを分析して攻撃を検出するため、効果的な防御手段となります。

まとめ

Slowlorisは、少ないリソースでサーバーの接続を占有し、サービス拒否(DoS)を引き起こす効果的な攻撃手法です。特にスレッドベースのウェブサーバーに対して大きな影響を与える可能性がありますが、タイムアウト設定の変更や同時接続数の制限、WAFの導入など、適切な対策を講じることで被害を防ぐことができます。サーバーの設定を見直し、効果的なセキュリティ対策を施すことが、Slowloris攻撃の影響を最小限に抑えるために重要です。


SNSでもご購読できます。