[보안용어] 슬로리스 공격(Slowloris Attack)

http://crefunx.tistory.com/m/34

[형태] 
- 정상적인 HTTP GET 요청을 해서 정보를 보면 “….” 네개의 마크가 찍힘
- Slowloris 공격헤더 정보 보시면 ”..” 이렇게 두개로 마킹되는 것을 볼수 있음(Get Method 사용)
-> 즉, 헤더를 종료하지 않고 보내는 것(소켓을 열어둔체 닫히지 않게 됨)
-> 계속 일정 간격으로 소켓이 닫히지 않게 유지시켜 Client connection 수치를 최대치로 채우는 공격

[정의]
- 웹 서버와 다수의 커넥션 연결 후 각 커넥션 별로 비정상 HTTP 헤더(완료되지 않는 헤더)를 전송함으로써 
웹 서버 단의 커넥션 자원을 고갈 시키는 공격

[방어] 
- 윈도우 시스템은 소켓 커넥션이 130개로 제한이 되어 있어 실제로 이 공격이 무효화됨
- 리눅스의 Apache 서버는 이 부분에 문제가 있으며 상위버전 재설치를 통해서만 해결가능
- 다단계 방어책 수립
* L7 스위치 캐싱 시스템을 이용한 차단 : 캐싱 장비에서 Request timeout을 이용하여 차단가능
* Content-length 크기에 대한 임계치 설정 : 일정 크기 이상의 Content-length 값을 요청하는 IP 차단
* 연결 Timeout 설정 : 일정 시간 이상 연속된 데이터를 보내지 않는 접속자에 대해 차단
* 동시 연결에 대한 임계치 설정 : 다수의 커넥션을 동시에 연결하지 못하도록 차단