Robert "RSnake" Hansen によって開発された Slowloris は、1 台のコンピュータにインターネット サーバーのダウンを要求することを許可する DDoS 攻撃ソフトウェアです。この攻撃は単純かつ洗練された性質を持っているため、実装に必要な帯域幅は最小限で済み、影響を受けるのはターゲット サーバーの Web サーバーのみで、他のサービスやポートにはほとんど副作用がありません。Slowloris は、Apache 1.x や 2.x を含む、多くの一般的な種類の Web サーバー ソフトウェアに対して非常に効果的であることが証明されています。長年にわたって、Slowloris はさまざまな注目を集めるサーバーのダウンを行ってきたとされてきました。特に、2009 年のイラン大統領選挙後、イラン政府のインターネット サイトを攻撃するために、イランの「ハキビスト」によって広範囲に使用されていました。Slowloris は、ターゲットの Web サーバーへの複数の接続を開き、それらの接続を可能な限り長く開いたままにすることによって機能します。これは、部分的な HTTP リクエストを継続的に送信することによって行われますが、そのリクエストはいずれも完了しません。攻撃されたサーバーは、各攻撃リクエストが完了することを期待して、より多くの接続を開きます。Slowloris は、リクエストごとに後続の HTTP ヘッダーを定期的に送信しますが、実際にリクエストを完了することはありません。最終的には、ターゲット サーバーの最大同時接続プールがいっぱいになり、追加の (正当な) 接続試行は拒否されます。Slowloris は、不正なパケットではなく部分的なパケットを送信することで、従来の侵入検知システムを簡単に突破できます。動きの遅いアジアの霊長類の一種にちなんで名付けられたスローロリスは、ゆっくりと着実に動くことで実際にレースに勝ちます。Slowloris 攻撃は、ソケットを 1 つずつ消費する前に、正当なリクエストによってソケットが解放されるのを待つ必要があります。大容量のインターネット サイトの場合、これにはしばらく時間がかかります。正規のセッションが再開始されると、メソッドの速度がさらに遅くなることがよくあります。しかし、攻撃が緩和されなければ、最終的にはヤドロリスが、カメのように、レースに勝ちます。検出されない場合、または軽減されない場合、スローロリスの攻撃は長期間続く可能性もあります。ソケットが攻撃された場合、Slowloris は単純に接続を再開し、緩和されるまでオンライン サーバーへの接続を続けます。ステルス性と有効性を兼ね備えた Slowloris は、仮想ホストがターゲットになったイベント内で異なるホスト ヘッダーを送信するように変更されることが多く、ログは仮想ホストごとに個別に保存されます。さらに重要なことは、攻撃の過程で、Slowloris はログ ファイルの作成を抑制するように設定されることがよくあります。これは、ログ ファイル エントリに危険信号が表示されず、監視されていないサーバーを不意を突いて攻撃できることを示唆しています。軽減方法 Imperva のセキュリティ サービスは、クライアントのサーバーに送信されるすべての受信リクエストの検査に使用されるリバース プロキシ テクノロジーによって有効になっています。Imperva の安全なプロキシは部分的な接続リクエストを転送しないため、Slowloris DDoS 攻撃の試みはすべて完全かつ完全に無効になります。

https://search.arin.net/rdap/?query=199.43.0.43