警察庁はこのほど、「Slow HTTP DoS Attack」の可能性が疑われる攻撃事例を確認したと発表した。「Slow HTTP DoS Attack」は、共通した特徴を持つ複数のDoS攻撃手法の総称で、Slow Client AttackやSlow Rate Attackとも呼称されている。

攻撃手法は一般的なDoS攻撃と同じもので、大量のパケットを攻撃対象に送信することで、回線帯域やサーバなどの処理能力を逼迫させることが狙い。

他のDoS攻撃と異なる点は、比較的少ないパケット数を長時間に渡ってTCPセッションが継続するように操作すること。WebサーバのTCPセッションを占有し、正規のサイト閲覧者がアクセスできないように妨害を行う。

他の代表的なDoS攻撃手法との相違点

同攻撃手法は、継続時間の引き延ばしを試みる通信の対象によって、「Slow HTTP Headers Attack」「Slow HTTP POST Attack」「Slow Read DoS Attack」の3つに分類される。

Slow HTTP Headers Attackは、待機時間を挟みながら、長大なHTTPリクエストヘッダを送信し続けることにより、TCPセッションの占有を図る攻撃手法。2009年に「Slowloris」と命名された攻撃ツールが公開されたことで、広く知られるようになった。

Slow HTTP POST Attackは、HTTPのPOSTメソッドを悪用して、待機時間を挟みながら、長大なHTTPリクエストボディ(POSTペイロード)を送信し続けることにより、TCPセッションの占有を図る攻撃手法で、2010年に2名の研究者によって明らかになった。代表的な攻撃ツールの名称から「R.U.D.Y Attack」と呼ばれることもある。

Slow Read DoS Attackは、小さなTCPウィンドウサイズを指定して、WebサーバからのHTTPレスポンスを少しずつ受信することにより、セッションの継続時間を引き延ばす攻撃手法。2012年にセキュリティ対策企業によって明らかになった。

Slow HTTP Headers Attackの概要(左)、HTTP POST Attackの概要(右)

Slow Read DoS Attackの概要

警察庁の調査によると、現在Web上でSlow HTTP DoS Attack用の攻撃ツールが多数公開されており、誰でも容易に攻撃を行うことが可能な状態になっている。攻撃を悪用した場合は、大量のパケットを送信する必要がないため、少人数による攻撃でも攻撃対象に深刻な影響を与える可能性がある。

警察庁では、Webサーバの管理者が運用実態も十分に考慮した上で、必要に応じてSlow HTTP DoS Attackへの対策をするように呼び掛け、具体的な対策を紹介している。Webサーバなどの設定変更内容によっては、正規の利用者の閲覧にも支障が発生する可能性があるため、対策前には十分な検証が必要だとしている。

Slow HTTP DoS Attackへの対策例