slowloris攻撃とは ウェブサーバーの脆弱性対策に有効な実践的対策

slowlorisは2009年に出現した攻撃ツール・手法で、特にApacheウェブサーバーにとって脅威となる存在です。本稿では、slowlorisの概要やslowlorisを用いたSlow HTTP DoS攻撃の概要、どのような対策を施すべきか解説します。

slowlorisとは

企業のインターネットビジネスを脅かす存在として知られるDoS攻撃ですが、ウェブサーバーに対するDoS攻撃として「slowloris」があります。ここからは、slowlorisの概要のほか、Slow HTTP DoS攻撃について解説します。

slowlorisの概要

はじめにslowlorisの概要についてご説明します。slowlorisとは、Slow HTTP DoS攻撃を行うための攻撃ツールのことです。slowlorisという名前は、「lorisidae」という動きの鈍いロリス科の哺乳類から命名されており、リクエストデータを低速で送信することで機能します。

slowlorisは、ウェブサーバーのApacheに対して効果が大きいことでも知られています。Apacheに対して不完全なリクエストヘッダーを送り続け、接続をオープンにし続けている間にApacheのプロセスをいっぱいにさせるのです。以降、「ApacheにDoS攻撃に繋がる脆弱性が見つかった」と取り上げられ、slowlorisを用いたSlow HTTP DoS攻撃に対し、警察庁が注意喚起を促す事態になりました。

Slow HTTP DoS攻撃とは

Slow HTTP DoS攻撃とは、ターゲットを絞って行うDoS攻撃の1種であり、HTTPリクエストとレスポンスの仕組みを悪用し、攻撃対象のウェブサーバーをダウンさせる攻撃方法です。「slowloris」もSlow HTTP DoS攻撃の一種になります。

攻撃者は、攻撃対象に対し、HTTPのコネクションを切断されないように維持しながら、ウェブサーバーに断片的なリクエストを送信し続けます。これにより、要求を完了することができず、コネクションが閉じられない上、リソースが作成され続けていきます。その結果、対象のウェブサーバーのリソースを攻撃側が消費し続けることになり、攻撃対象となるウェブサーバーはサービスを提供できない状況に追い込まれてしまいます。

Slow HTTP DoS攻撃は、ほかのDoS攻撃と異なり、少ないパケット数を長時間にわたって送り続けます。少ないリソースで大規模なサイトを攻撃できるという特徴があることから、「Asymmetric Attack（非対称攻撃）」とも呼ばれています。

また、Slow HTTP DoS攻撃は、通信の対象ごとに種類が分かれ、「Slow HTTP Headers Attack」（slowloris）、「Slow HTTP POST Attack」、「Slow Read DoS Attack」の3つに分類されます。

5分でまるわかり！
WAFによるサイバー攻撃対策

そもそもサイバー攻撃とは何か？Webサイトをサイバー攻撃から守る「WAF」導入のメリットやその種類と選び方までを解説しています。

slowlorisへの対策

slowloris攻撃に対してきちんと対策を行っていないと、自社のサイトが深刻な影響を受けてしまう可能性があります。ここからは、slowlorisを防御するために有効的なセキュリティ対策をいくつかご紹介します。

Apacheのタイムアウトを設定する

slowloris攻撃はApacheに有効な攻撃方法のため、Apache側のセキュリティ対策が大切です。Apacheには、接続のタイムアウト設定があるため、slowloris攻撃をある程度カバーすることができます。

slowloris対策用のモジュールを追加する

より念入りなSlow HTTP DoS攻撃対策を行うためには、slowloris対策用のモジュールを追加しましょう。Apache 2.2.15以降には、Slow HTTP DoS攻撃に対応するため、「mod_reqtimeout」というモジュールが追加されていますが、現在はほかにもslowloris対策に特化した「mod_noloris」や「mod_antiloris」のモジュールも準備されています。モジュールにより、slowlorisの攻撃者のIPを高確率で判別できます。

リバースプロキシを設置する

リバースプロキシを設置し、slowlorisによるリクエストを無害化するのも有効的な手段です。リバースプロキシとは、クライアントとサーバーの間に入り、サーバーの応答を代理する役割を持つ機能です。slowlorisの影響を受けないリバースプロキシを前段に設置することで、slowloris攻撃による影響を回避することが可能です。

WAFを導入する

WAF製品には、slowloris攻撃対策の機能を持つ製品も存在します。

WAFとは、Webアプリケーションの脆弱性を悪用する攻撃からWebサイトを保護するセキュリティ対策製品のことです。Webサイトの前段やWebサーバー上に導入することで、外部からの不正アクセスを検出、防御します。slowlorisに限らず、様々なサイバー攻撃に対し、幅広い防御が可能なため、効率的なセキュリティ対策が行えます。

事前対策はもちろん、攻撃を受けた場合の事後対応や被害拡大を防ぐためのソリューションとして有効です。WAFには、保護対象が多い場合にコストパフォーマンスの良い「アプライアンス型」、初期導入のコストを抑えて手軽に管理できる「クラウド型」、費用面のバランスが良い「ソフトウェア型」のようにいくつかの種類があります。

Webアプリケーションへの攻撃に幅広く対策できるWAFを導入しよう

slowlorisをはじめとしたDoS攻撃は、コンピュータの脆弱性を狙った攻撃方法であり、ユーザー側がいかにセキュリティ対策を行っているかどうかがポイントとなります。Webサイトのセキュリティ対策の向上には、WAFの導入がおすすめです。

WAFとは

Webアプリケーションファイアウォール（WAF：Web Application Firewall）は、ウェブサイトに対するアプリケーションレイヤの攻撃対策に特化したセキュリティ対策です。