Slowloris攻撃

Slowloris Attack 攻撃手法

HTTPリクエストを意図的にゆっくり送り、Webサーバーの接続枠を枯渇させる攻撃。

概要

Slowlorisは、HTTPリクエストを意図的に遅く・途切れ途切れに送信することで、Webサーバーの同時接続枠を長時間占有し、正規ユーザーが接続できない状態を作り出すDoS攻撃です。低帯域・少数の攻撃元からでもサービス停止を引き起こせるのが特徴で、攻撃検知が難しい点でも厄介な手法です。

技術的には、HTTPヘッダーを完全に送り切らないまま「あと少しで送り終わる」状態を維持し、Webサーバーがタイムアウトするまでコネクションを掴み続けます。Apache (prefork) 等の「接続=プロセス/スレッド」モデルでは特に有効で、デフォルト設定では数百接続でWebサーバーが応答不能になります。

対策は (1) Webサーバーのタイムアウト短縮、(2) 同一IPからの同時接続数制限、(3) nginxやイベント駆動型サーバーへの移行、(4) reverse proxy/CDNの導入です。攻撃元IPの自動遮断も並行して有効です。

Scanrollはこう守る

Scanrollは異常に長時間かつ未完了のHTTPコネクションを検知し、Slowloris特有のパターンを示す送信元IPをnftablesで自動遮断します。攻撃継続時にはWebサーバーのリロード/再起動を昇格的に実行し、滞留接続をクリアして正規ユーザーのアクセスを回復します。