HTTP GET Flooding, Slow HTTP GET/Post Attack

HTTP GET Flooding

• 정상적인 TCP 연결 이후 정상적인 HTTP Transaction 과정을 수행하는 방식으로 Dos/DDoS 공격 방식을 가진다.
• HTTP Get을 지속적으로 요청하여 HTTP 연결 및 HTTP 처리 로직의 과부하를 유발한다.
• HTTP Request를 반복적으로 호출하는 간단한 공격이다. 쉽게는 사용자가 새로고침을 반복적으로 눌러도 된다. 하지만 사용자 한 명의 속도로는 서버에 부하를 유발하기 어렵다.
• TCP 3-Way Handshaking을 거친 후 공격을 수행하는 것이기 때문에 IP를 변조하지 않는다.

Slow HTTP GET/Post Attack

Slow HTTP GET

• TCP 및 UDP 기반 공격 - 변조 IP가 아닌 정상 IP 기반 공격이며 탐지가 어려움
• 소량의 트래픽을 사용한 공격 - 소량의 트래픽과 세션 연결을 통해 공격
• 애플리케이션 대상 공격 - 서비스의 취약점을 이용한 공격

Slow HTTP Post

• HTTP의 Post 지시자를 사용하여 서버에 전달할 대량의 데이터를 장시간에 걸쳐 분할 전송
• Post 데이터가 모두 수신되지 않으면 연결을 장시간 유지해야 한다.

Slow HTTP Read Dos

• 공격자가 웹 서버와 TCP 연결 시 TCP 윈도우 크기 및 데이터 처리율을 감소시킨 후 HTTP 데이터를 송신하여 웹 서버가 정상적으로 응답하지 못하도록 하는 DoS/DDoS 공격 기법
• TCP 윈도우 크기 및 데이터 처리율을 감소시키면 서버는 정상상태로 회복될 때까지 대기상태에 빠지게 되어 부하를 유발

Slow HTTP Read DoS 공격 방법

• 1. 자신의 TCP 윈도우 크기를 0Byte로 조작 후 서버에 전달
• 2. 서버는 윈도우 크기가 0Byte인 것을 확인하고 데이터를 전송하지 않고 Pending 상태로 전환
• 3. 공격자는 윈도우 크기를 점검하는 Probe 패킷을 ACK로 전송하면 서버는 대기 상태로 전환

Slow HTTP Header DoS(Slowloris)

• HTTP Header를 비정상적으로 조작해 웹 서버가 헤더 정보를 구분할 수 없도록 하는 방법.
• 웹 서버에 HTTP Header 정보가 모두 전달되지 않은 것으로 판단하여 연결을 장시간 유지
• 웹 서버는 클라이언트로부터 요청이 끝나지 않은 것으로 판단하기 때문에 웹 로그에 기록하지 않는다.

Slow HTTP Header DoS 공격 방법

• HTTP Header와 Body는 개행문자(\r\n\r\n)으로 구분된다.
• Slow HTTP Header Dos는 \r\n만 전송하여 불완전한 Header를 전송한다.