HTTP Flood

攻撃手法

正規のHTTPリクエストを大量送信しWebサーバーを過負荷にするアプリ層DoS。

概要

HTTP Floodは、正規のHTTPリクエストを大量に送りつけることでWebサーバーやアプリケーションを過負荷にするアプリケーション層DoS攻撃です。リクエスト1つ1つは正常な通信に見えるため、ネットワーク層のフィルタでは検知が困難で、より上位の振る舞い分析が必要となります。

攻撃のバリエーションとして、TOPページへの単純な大量GET、検索機能やログイン処理等の「重い」エンドポイントを狙うピンポイント攻撃、画像や動画等の大容量レスポンスを引き出す帯域消費型があります。WordPressサイトでは、wp-login.phpやxmlrpc.phpが攻撃対象になりがちです。

対策は (1) 同一IPからのリクエスト数のレート制限、(2) Bot判定(User-Agent検証、JavaScriptチャレンジ、CAPTCHA)、(3) CDNでのキャッシュ活用と上流吸収、(4) 異常なアクセスパターンを示すIPの自動遮断、を組み合わせます。

Scanrollはアクセスログから1時間あたり200リクエストを超える等の閾値ベースの監視を行い、HTTP Floodと判定した送信元IPを自動ブロックします。閾値はWebサーバー特性に合わせて調整可能で、誤検知が発生した場合はダッシュボードから即時解除できます。