一、简介

在Slow Post DDoS攻击中，攻击者将合法的HTTP POST表头发送到Web服务器，在这些标头中，将正确指定后面的邮件正文的大小，但是，消息正文以令人痛苦的慢速发送，这些速度可能慢至每分钟一字节。
可与僵尸网络协同工作，发起成千上万次的Slow Post DDoS攻击，导致服务端资源迅速消耗，使合规连接无法实现。

二、迹象

Slow Post DDoS攻击的特点是传输针对基于线程的Web服务端的HTTP请求，发送数据的速度非常慢，但不足以使得服务连接超时，在服务端未收到其他预期数据时始终保持连接打开，因此阻止了真正用户访问服务端。因此，在服务端看起来会有大量连接的客户端，但自身处理负载（CPU、内存）非常低。

三、与传统应用层DDoS攻击的区别

传统应用层DDoS攻击旨在发送超出服务器处理能力的海量HTTP请求，通过泛洪的方式造成服务器宕机，这需要攻击者需要具备大量资源能够淹没莫标注及。相比之下，Slow Post攻击端（攻击者可通过僵尸网络发动攻击）与服务端建立大量的客户端，但是自身处理负载过低，不容易发现。

四、模拟测试

可通过如下链接下载相关工具：
GitHub - shekyan/slowhttptest: Application Layer DoS attack simulator
可通过如下方式进行：
slowhttptest -c 5000 -u IP_ADDRESS

当前攻击成功，在服务端可以看到大量TCP连接，但是服务端的整体负载未见增加。


其他客户已无法访问相关服务

五、说明

Slowloris 和 Slow HTTP POST DoS 攻击依赖于这样一个事实，即 HTTP 协议在设计上要求服务器在处理请求之前完全接收请求。如果 HTTP 请求未完成，或者传输速率非常低，服务器会使其资源忙于等待其余数据。如果服务器使太多资源处于繁忙状态，则会造成拒绝服务。此工具正在发送部分 HTTP 请求，试图从目标 HTTP 服务器获取拒绝服务。