HTTP Flood

From Wikipedia, the free encyclopedia

HTTP Flood（HTTPフラッド）は、DDoS攻撃（分散型サービス妨害攻撃）の一種であり、攻撃者がHTTPおよび不要なPOSTリクエストを操作してWebサーバやアプリケーションを攻撃するものである。これらの攻撃では、トロイの木馬のようなマルウェアによって乗っ取られ、相互接続されたコンピュータがしばしば使用される。不正な形式のパケット、スプーフィング、リフレクション技術を使用する攻撃とは異なり、HTTPフラッドは、レイヤー4攻撃よりも少ない帯域幅で標的のサイトやサーバを攻撃できる。

GETフラッド

HTTPフラッドでは、ウェブブラウザなどのHTTPクライアントがアプリケーションやサーバと対話し、HTTPリクエストを送信する。リクエストは「GET」または「POST」のいずれかである。この攻撃の目的は、サーバに攻撃の処理に可能な限り多くのリソースを割り当てさせ、それによって正規のユーザーがサーバのリソースにアクセスできなくすることである。攻撃者は、検知を回避するために、正規に見えるがランダム化されたHTTPヘッダを注入し、プロキシを利用して送信元IPアドレスを隠蔽する。

GETリクエストは、画像、スクリプト、スタイルシートなどの静的コンテンツを取得するために使用される。リクエストは、単にルートを取得する場合もあれば、特にサイズの大きいアセットを標的にする場合もある。通常、リクエストは認証を必要とせず、CAPTCHAを回避することもできず、リクエストごとにサーバにかかる負荷は比較的小さい。

POSTフラッド

HTTP POSTフラッド（または単にPOSTフラッド）は、HTTPの一部であるPOSTリクエストを使用するサービス妨害攻撃である^[1]。2013年後半の時点で、POSTフラッドはモバイルデバイスから実行されるケースが増加していた^[2]。

POSTリクエストは、データベース内の項目を検索するなど、サーバに何らかの処理を実行させる可能性が高い。そのため、HTTP POSTフラッド攻撃は通常、リクエストごとにサーバにより高い負荷をかける^[要出典]。

緩和策

HTTPフラッド攻撃は標準的なURLリクエストを使用するため、正当なトランスポート層のネットワークトラフィックと区別することは非常に困難である。最も効果的な緩和策の1つは、主にIPレピュテーションの識別、異常なアクションの追跡、および段階的なチャレンジの採用を含むトラフィックプロファイリング手法を組み合わせることである^[3]。

脚注

↑ “DDoS Quick Guide”. National Cybersecurity and Communications Integration Center, アメリカ合衆国国土安全保障省 (2014年1月29日). 2025年10月2日閲覧。
↑ Player, Chris (2014年1月18日). “Mobile devices become launchpads for DDoS attacks”. PCWorld. 2019年8月31日時点のオリジナルよりアーカイブ。2025年10月2日閲覧。
↑ Cid, Daniel (2014年2月6日). “Layer 7 DDOS – Blocking HTTP Flood Attacks”. Sucuri Blog. 2025年10月2日閲覧。

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング（英語版） Kerberoasting（英語版）クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) [[]] (CWE-121) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 暗号アルゴリズムの脆弱性 (CWE-327) [POODLE]](CWE-757) KRACK(CWE-757) 誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス（DOS攻撃ツール） ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムクリアチャネル評価攻撃（英語版）
対策・防御技術	ファイアウォール Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） User and Entity Behavior Analytics（UEBA） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud Access Security Broker (CASB) 多要素認証 (MFA) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Wi-Fi Protected Access セキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデルコンテントスニッフィング（英語版）
関連項目・ツール	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit OWASP Sshnuke 脆弱性情報データベース (CVE/JVN) 脆弱性報奨金制度 Nikto Web Scanner（英語版） w3af（英語版）隠れ通信路（英語版）

表話編歴脆弱性、攻撃手法、エクスプロイトと対策
インジェクション (CWE-74)・入力検証不備	不適切な入力確認 (CWE-20) OSコマンドインジェクション (CWE-78) クロスサイトスクリプティング (XSS) (CWE-79) SQLインジェクション (CWE-89) LDAPインジェクション (CWE-90) コードインジェクション (CWE-94) HTTPヘッダ・インジェクション (CWE-113) HTTPレスポンススプリッティング（英語版） (CWE-113) 書式文字列攻撃 (CWE-134) XML外部実体攻撃 (XXE) (CWE-611) Insecure Deserialization（英語版）(CWE-502) ファイルインクルード脆弱性（英語版） Mass Assignment脆弱性（英語版）プロンプトインジェクション
Web・ブラウザ・クライアント関連	ディレクトリトラバーサル (CWE-22) クロスサイトリクエストフォージェリ (CSRF) (CWE-352) Webキャッシュポイゾニング (CWE-444) サーバサイド・リクエストフォージェリ (SSRF) (CWE-918) IDNホモグラフ攻撃 (CWE-1007) クリックジャッキング (CWE-1021) クロスサイトトレーシング (XST) DNSリバインディングクロスサイト・クッキングリファラスプーフィング（英語版） (CWE-601) クロスゾーンスクリプティング（英語版）
認証・セッション・なりすまし	セッションハイジャック (CWE-287) IPスプーフィング (CWE-290) クレデンシャル・スタッフィング (CWE-307) DNSスプーフィング (CWE-345) セッションフィクセーション (CWE-384) パス・ザ・ハッシュ攻撃 (CWE-522) ファーミング (CAPEC-89) フィッシング (詐欺) (CAPEC-98) リプレイ攻撃中間者攻撃 (MITM) ARPスプーフィング MITB攻撃悪魔の双子攻撃セッションポイズニング（英語版） Kerberoasting（英語版）クッキーモンスター攻撃（英語版）クッキースタッフィング（英語版） in-sessionフィッシング（英語版） Eメールスプーフィング（英語版） MOTS攻撃（英語版）
システム・メモリ・並行処理	バッファオーバーフロー (CWE-119) [[]] (CWE-121) スタックバッファオーバーフロー（英語版） Off-by-oneエラー (CWE-193) Return-to-libc攻撃競合状態 (Race Condition) (CWE-362) Time-of-check to time-of-use (TOCTOU) (CWE-367) TCPシーケンス番号予測攻撃 JITスプレー Spectre Use After Free（英語版）ダングリングポインタ（英語版）
暗号・サイドチャネル・ハードウェア	サイドチャネル攻撃 (CWE-203) 平文保存(CWE-312) 暗号アルゴリズムの脆弱性 (CWE-327) [POODLE]](CWE-757) KRACK(CWE-757) 誕生日攻撃 Meltdown CRIME Intel ME（英語版） Lazy FP state restore（英語版） TLBleed（英語版）スナーフィング（英語版）コールドブート攻撃（英語版）
可用性侵害 (DoS攻撃)	DoS攻撃 (CWE-400) ICMP echoフラッド Smurf攻撃 SYN flood UDPフラッド攻撃 HTTP Flood スローロリス（DOS攻撃ツール） ZIP爆弾 (CWE-409) Billion laughs攻撃 (XML爆弾) (CWE-776) メールボムクリアチャネル評価攻撃（英語版）
対策・防御技術	ファイアウォール Web Application Firewall (WAF) 侵入検知システム (IDS) 侵入防止システム (IPS) Endpoint Detection and Response (EDR) Endpoint Protection Platform（EPP） User and Entity Behavior Analytics（UEBA） Security information and event management (SIEM) Security Orchestration, Automation and Response (SOAR) Cloud Access Security Broker (CASB) 多要素認証 (MFA) Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) Outbound Port 25 Blocking（OP25B） Wi-Fi Protected Access セキュリティ・バイ・デザイン (SBD) ソフトウェア・サプライチェーンゼロトラスト・セキュリティモデルコンテントスニッフィング（英語版）
関連項目・ツール	マルウェアセキュリティホールクラッキング脆弱性情報データベースブラウザクラッシャーシェルコード Metasploit OWASP Sshnuke 脆弱性情報データベース (CVE/JVN) 脆弱性報奨金制度 Nikto Web Scanner（英語版） w3af（英語版）隠れ通信路（英語版）

POSTフラッド

Related Articles