A Defence Method against Slow HTTP DoS Attacks Based on the Duration and the Number of TCP Connections

IPSJ

Bibliographic Information

Other Title
  • TCPコネクション数と継続時間に基づくSlow HTTP DoS攻撃に対する防御手法

Search this article

Description

ネットワークやコンピュータの正常な利用を妨げるDenial of Service(DoS)攻撃の発生件数,規模が年々増加している.DoS攻撃の一手法であるSlow HTTP DoS攻撃は比較的少ないトラフィックで実行可能であり,トラフィック量の監視といった単純な方法では検出が困難である.そこで,タイムアウトの設定,クライアントごとの同時リクエスト数制限,機械学習による検出といった対策手法が提案されているが,正当ユーザへの悪影響や,多数の攻撃元を用いる分散型DoS攻撃への耐性などの問題を残している.本稿では,Slow HTTP DoS攻撃に対し,クライアントごとのTCPコネクションの数と継続時間に基づき,攻撃コネクションを選択的に切断することによる防御手法を提案した.50の攻撃者を模擬したシミュレーション実験の結果,正当ユーザのトラフィックに基づき適切なパラメータを設定すれば,正当ユーザが誤って切断される確率は1%未満と,許容できる程度であることが分かった.

Both the number and the volume of Denial of Service (DoS) attacks, that attempt to make a machine or network resource unavailable are getting larger in recent years. A Slow HTTP DoS attack is a method of DoS attacks that attempts to saturate the requests in process of a HTTP server. This attack is known to be effective for a small scale attack. It is difficult to detect it using traditional methods such as monitoring traffic volume. There are some known countermeasures, such as setting timeout, limiting the number of simultaneous requests, and detecting it using machine learning techniques, but they have some drawbacks such as denying services to legitimate users and resistance against attacks from multiple attackers. In this paper, we propose a defense method against Distributed Slow HTTP DoS attack based on the number of connections for each client and the duration of connections. We performed experiments simulating 50 attackers and we found that the probability that legitimate users got erroneously disconnected is less than 1% with appropriate parameters based on the normal traffic.

Journal

Related Projects

See more

Keywords

Details 詳細情報について

Report a problem

Back to top