HTTP Slowloris攻撃に対する防御

攻撃説明

攻撃者はサーバとの多数の接続を確立し、GETまたはPOST要求を通じてゆっくりと要求ヘッダまたは本文を送信するため、各接続は長期間維持され、サーバは正当なユーザーにサービスを提供できません。

防御原則

  • 指定したHTTP / HTTPSタイプのセキュリティサービスの同時接続数が構成された閾値に達すると、Slowloris攻撃防御が有効になります。
    管理者は、HTTP Slowloris攻撃防御ルールとHTTP Slowloris POST攻撃防御ルールを使用して閾値を構成できます。
  • 構成されたタイムアウト期間内にHTTP要求ヘッダまたは本文が完全に受信されない場合、その要求はSlowloris攻撃と判断されます。受信した各リクエストヘッダフラグメントまたはボディフラグメントの間隔が最大間隔しきい値を超えると、例外と見なされます。
     1つの要求で3つの例外が発生した場合、その要求はSlowloris攻撃と判断されます。
  • リクエストがSlowloris攻撃であると判断された場合、システムはリクエストをブロックします。
    動的に配布される自動IPブラックリスト機能が有効になっている場合、システムはクライアントのソースIPアドレスを自動IPブラックリストに送信します。ブラックリストに登録されている限り、クライアントからのリクエストはブロックされます。

ASFでの操作

HTTP / HTTPSタイプのアプリケーションDDoSプロファイルのHTTP Slowloris防御ルールを構成

HTTP / HTTPSタイプのアプリケーションDDoSプロファイルのHTTP Slow Post防御ルールを構成