安心安全なWebサイトの作り方 〜スロークライアントアタック〜

IT・IT製品TOP > Key Conductors > 佐藤 栄治(バラクーダネットワークスジャパン株式会社) > 安心安全なWebサイトの作り方 〜スロークライアントアタック〜
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

安心安全なWebサイトの作り方 〜スロークライアントアタック〜

ネットワークセキュリティ 2013/10/08

従来のL4 DDoS攻撃

 DDoS攻撃(Distributed Denial of Service Attack分散サービス妨害攻撃)とは、数千以上の大量の端末が攻撃対象となる特定のサーバに対して、一斉にパケットを送信して通信経路や対象サーバをダウンさせる攻撃です。DDoS攻撃はツールが整備されているため比較的簡単に攻撃することが可能なことも大きな問題です。
 実際、政治的攻撃ハッカー集団アノニマス(Anonymous)は、DDoS攻撃を行うためのツールとしてLOIC(本来はネットワーク負荷試験ツール)を使用していました。彼らはツイッターなどのソーシャルネットワーキングを用い、攻撃に参加する多数のボランティア攻撃者を募集します。ボランティア攻撃者はLOICの攻撃クライアントをダウンロードするか、LOICのJavaScriptバージョンJS LOICをコンテンツとして保有するWebページにアクセスします。LOICのようなツールを利用することで、技術力の乏しいボランティア攻撃者を攻撃の輪に加え、DDoS攻撃を繰り返し行っていました。
 こういった攻撃の多くは、セキュリティ能力の高いネットワークファイヤウォールやIPS/IDSなどで検知防御が可能です。

ハッカー集団アノニマスが利用したツール LOIC

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

ハッカー集団アノニマスが利用したツール LOIC

最近注目されているL7 DoS攻撃とは?

 昨今は、L7に対するDOS攻撃が増加しつつあります。
 前述した攻撃とは異なり、攻撃者が大量のコネクションをWebサーバに張り、攻撃対象となる特定のサーバのリソースを枯渇させ、サーバダウンをさせます。但し、大量のパケット、データは送りません。代わりに無通信によるタイムアウトなどを回避するため、ゆっくりリクエスト/レスポンスを送受信します。
 この特性からバラクーダではこのような攻撃を「スロークライアントアタック(Slow Client Attack)」と呼んでいます。スロークライアントアタックには大きく分けて3つの攻撃が存在しています。

スローHTTPヘッダ (Slow HTTP Headers)

ゆっくりヘッダを送り続け、コネクションを張りっぱなしにすることを大量に行うことによりダウンさせる。Apacheに対してのみの攻撃。

スローHTTP ポスト (Slow HTTP POST)

HTTP POSTリクエスト全体を単一のパケットで送るのではなく、分割して1バイトごとにゆっくり送信。大量にコネクションを張ることでダウンさせる。すべてのWebサーバが攻撃対象。

スローリードDoS (Slow Read DoS)

クライアントが、1つのコネクションごとに10byteから32byteの間でランダムにウィンドウサイズを告知し、Webサーバからのレスポンスを読み取る時間を引き延ばすことで、サーバの正常な動作を妨害。

スローHTTPヘッダの実際の通信内容

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

スローHTTPヘッダの実際の通信内容
例えばスローHTTPヘッダの場合、大量のコネクションを張った後、無通信タイムアウトを防ぐため、30秒から2分に1回(攻撃者の設定に依存)の割合で、リクエストヘッダを送ります。

スロークライアントアタックの対策とは

オープンソースのセキュリティモジュールでの対応

 Apacheの場合、mod_reqtimeoutの設定や、ModSecurity2を別途インストールし、SecReadStateLimitなどチューニングを行っていくことで、コストをかけずに対応することは可能です。しかし、インストールやチューニングには、高度な知識が必要ですし、Webアプリによっては正しくコンテンツが表示されなかったりすることもあります。

WAFでの対応

 Barracuda WAFの場合、アダプティブ・タイムアウト・アルゴリズムという仕組みを利用します。あらかじめ、指定したウィンドウ時間に、想定した通信データ量があるか、ソースIPアドレスごとに常にデータ通信量を監視します。しかし、単純に想定を下回ったからといって、すぐに遮断するわけではありません。データ量を精査するために、ウィンドウ時間を少しずつ縮めながら、想定されるデータ転送量と実際のデータ量を比較、監視します。このような監視方法により、通常の通信か、それとも正常なアクセスに見せかけた攻撃かを見極める事が可能です。

参考情報 :Barracuda WAF製品紹介ページ
注意:紹介したツールを利用し、実際のサイトに攻撃を仕掛けた場合、法律で罰せられ可能性があります。勉強のための攻撃通信の生成は、必ずローカル環境で行ってください。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30006788


IT・IT製品TOP > Key Conductors > 佐藤 栄治(バラクーダネットワークスジャパン株式会社) > 安心安全なWebサイトの作り方 〜スロークライアントアタック〜

このページの先頭へ

キーマンズネットとは
2009年 バラクーダネットワークスジャパン株式会社に入社。シニアプリセールスエンジニアとして、企業・ECサイト・銀行・ISP・官公庁や自治体などに多数のWebセキュリティ&アプリケーションデリバリソリューションを提案、導入。Webセキュリティに関する話題をわかりやすく解説します。

ページトップへ