在慢發布 DDoS 攻擊中，攻擊者將合法的 HTTP POST 標頭發送到 Web 服務器。在這些標頭中，正確指定了將遵循的消息正文的大小。但是，消息正文以令人痛苦的低速發送。這些速度可能慢到每兩分鐘一個字節。由于消息被正常處理，目標服務器將盡力遵循指定的規則。就像在Slowloris 攻擊中一樣，服務器隨后會變慢到爬行。更糟糕的是，當攻擊者同時發起數百甚至數千個慢速POST攻擊時，服務器資源被迅速消耗，使得合法連接無法實現。

DDoS 攻擊后緩慢的跡象是什么？

慢 Post DDoS 攻擊的特點是傳輸針對基于線程的 Web 服務器的 HTTP POST 標頭請求，發送數據非常緩慢，但不足以使服務器超時。由于服務器保持連接打開以期待額外的數據，因此阻止了真正的用戶訪問服務器。服務器看起來有大量連接的客戶端，但實際處理負載會非常低。

為什么緩慢的后期 DDoS 攻擊很危險？

由于慢后 DDoS 攻擊不需要大量帶寬，例如蠻力DDoS 攻擊所需的帶寬，因此很難將它們與正常流量區分開來。由于這些類型的應用層 DDoS 攻擊不需要大量資源，它們可以從一臺計算機發起，這使得它們非常容易啟動且難以緩解。

如何減輕和防止緩慢的 DDoS 后攻擊

由于傳統的速率檢測技術無法阻止慢速 DDoS 攻擊，因此一種方法是升級服務器可用性。我們的想法是，服務器上可用的連接越多，攻擊就越不可能淹沒該服務器。不幸的是，在許多情況下，攻擊者會簡單地擴大攻擊范圍以試圖使增加的服務器容量過載。另一種方法是基于反向代理的保護，它將在到達服務器之前攔截慢速 DDoS 攻擊。雖然沒有任何措施可以完全消除慢后 DDoS 攻擊的威脅，但可以采取以下額外步驟：

• 為接受消息頭和正文的每個資源設置更嚴格的特定于 URL 的限制。
• 根據來自合法客戶端的連接中位數設置絕對連接超時。
• 對于支持 backlog 的 HTTP 服務器，請確保 backlog 足夠大以抵御小型 DDoS 攻擊。
• 建立最小傳入數據速率，然后丟棄任何比該速率慢的連接。
• 考慮添加更多DDoS 保護措施，例如事件驅動的軟件負載平衡器、用于執行延遲綁定的硬件負載平衡器，以及用于丟棄與從日志文件中收集的可疑行為模式相匹配的連接的入侵檢測/預防系統。