Slowloris DDoS(분산 서비스 거부) 공격은 OSI(개방형 시스템 상호 연결) 모델의 계층 7을 대상으로 하는 사이버 공격 유형으로, 특히 웹 서비스의 가용성을 방해하는 것을 목표로 합니다. 느리게 움직이는 아시아 영장류인 슬로우 로리스의 이름을 딴 이 공격 방법은 다수의 동시 TCP(Transmission Control Protocol)를 오픈 및 유지하여 컴퓨터, 웹 서버, 데이터베이스, API 등의 대상을 압도하도록 설계되었습니다. ) 대상의 FQDN(정규화된 도메인 이름)에 대한 연결입니다.
Slowloris 공격의 특징은 연결된 세션당 낮은 속도 및/또는 양의 HTTP 요청 또는 연결을 생성하는 능력입니다. 그렇게 함으로써 반드시 높은 대역폭을 요구하지 않고 대상의 리소스를 소비합니다. 일부 공격 IP는 수많은 TCP 연결 시도를 열고 이러한 추가 열린 연결이나 세션을 사용하여 들어오는 요청을 결합하여 애플리케이션이나 데이터베이스 리소스를 더욱 소모할 수 있습니다.
슬로로리스 공격은 탐지되지 않으면 장기간 지속될 수 있기 때문에 특히 교활합니다. 공격 트래픽이 합법적인 트래픽을 모방할 수 있어 이를 식별하고 완화하기 어려운 경우가 많아 기존 보안 조치로는 정상 활동과 악의적인 활동을 구별하기가 어렵습니다.
Slowloris 공격 기법은 HOIC(High Orbit Ion Cannon), LOIC(Low Orbit Ion Cannon) 등의 일반적인 공격 도구 프레임워크를 통해 대중화되었으며, 이는 Anonymous, 이란 정부, Killnet 등 다양한 위협 행위자 그룹에서 사용되었습니다. 이러한 도구를 사용하면 공격자는 최소한의 기술 전문 지식만으로 Slowloris 공격을 더 쉽게 시작할 수 있습니다.
오늘날 이 기술은 현대화된 인프라와 명령 및 제어 시스템을 활용하여 이러한 공격을 수행하는 다양한 위협 행위자에 의해 계속해서 사용되고 있습니다. 결과적으로 조직은 Slowloris 공격을 효과적으로 감지 및 완화하고 웹 서비스를 다운타임 및 중단으로부터 보호하기 위해 애플리케이션 계층 방화벽 및 속도 제한과 같은 고급 보안 조치를 구현해야 합니다.