Il "Slow HTTP Attack" è un sottotipo particolare del DDoS, che può essere descritto come l'invio di una richiesta HTTP con una velocità estremamente rallentata. Questo tipo di attacco, noto anche come "Slowloris", viene utilizzato per forzare la connessione aperta tra il client e il server, impedendo al server di chiudere la connessione e liberare le risorse.
Nel protocollo HTTP, ogni richiesta termina con due caratteri di "newline", ovvero "\n\n", che indica la fine della richiesta. Con l'invio di richieste estremamente rallentate, l'attaccante costringe il server ad attendere indefinitamente il segnale di chiusura della richiesta. Questo processo occupa molte risorse del server, impedendo ad altri utenti di accedere alle risorse richieste.
Ciò che rende particolarmente pericoloso il "Slow HTTP Attack" è che può essere eseguito con risorse relativamente limitate, anche da un singolo computer, senza la necessità di utilizzare una botnet. Inoltre, la natura del rallentamento della richiesta lo rende difficile da rilevare, il che può portare a gravi problemi di disponibilità del servizio.
Per prevenire il "Slow HTTP Attack", è possibile utilizzare misure di protezione come la limitazione del tempo di attesa per le richieste HTTP, la riduzione del tempo massimo di connessione e l'uso di firewall e altre tecnologie di sicurezza. È importante monitorare costantemente le risorse del server per rilevare eventuali anomalie e attuare immediatamente misure di difesa.
