Qu’est-ce qu’une attaque Slow Post ?

Schéma expliquant le fonctionnement d'une attaque Slow Post

Qu’est-ce qu’une attaque Slow Post ?

Dans le paysage des cyberattaques, les attaques Slow Post sont particulièrement insidieuses. Contrairement aux attaques DDoS classiques, qui submergent un serveur de requêtes massives pour le rendre indisponible, les attaques Slow Post exploitent une approche plus subtile. Elles utilisent des connexions HTTP légitimes, mais envoient les données extrêmement lentement, monopolisant ainsi les ressources du serveur sans générer un trafic anormalement élevé.

Cette méthode, difficile à détecter et à contrer, peut provoquer un véritable déni de service (DoS) en bloquant les connexions disponibles, tout en échappant aux systèmes de défense traditionnels. Mais comment fonctionnent exactement ces attaques ? Pourquoi sont-elles si efficaces ? Et surtout, comment s’en protéger ?

Comment fonctionne une attaque Slow Post ?

Comprendre les attaques Slow Post

Les attaques Slow Post font partie de la famille des attaques dites “low and slow”, qui visent à perturber le fonctionnement des serveurs en utilisant un trafic à très faible débit. Contrairement aux attaques par saturation, qui inondent un serveur de requêtes jusqu’à l’épuisement de ses ressources, les attaques Slow Post s’appuient sur un faible volume de trafic, conçu pour paraître normal aux yeux des systèmes de surveillance.

Cette technique exploite la manière dont les serveurs gèrent les connexions entrantes. Lorsqu’un utilisateur envoie une requête HTTP POST vers un serveur, il précise la taille du contenu à transmettre grâce à l’en-tête Content-Length. Normalement, cette donnée est envoyée en une seule fois ou sur une courte période.

Dans le cadre d’une attaque Slow Post, le corps du message est transmis de manière extrêmement lente. Cette technique vise à monopoliser les connexions du serveur, le forçant à maintenir ouvertes de multiples sessions en attente de données complètes. En établissant simultanément un grand nombre de ces connexions incomplètes, l’attaquant peut épuiser les ressources du serveur, rendant ce dernier incapable de traiter les requêtes des utilisateurs légitimes et provoquant ainsi un déni de service.

Ce type d’attaque nécessite très peu de bande passante de la part de l’attaquant, tout en infligeant un impact disproportionné sur le serveur cible. Le trafic généré par une attaque Slow Post ressemble étroitement à une activité utilisateur normale, ce qui complique sa détection par les systèmes de surveillance traditionnels axés sur le volume de trafic.

Synthèse du processus d’une attaque Slow-Post

1. Connexion initiale – L’attaquant ouvre une connexion avec le serveur cible et envoie un en-tête HTTP POST complet, incluant le champ Content-Length qui indique la taille du corps du message à venir.

2. Envoi des données à un débit extrêmement faible – Au lieu d’envoyer le corps du message immédiatement, l’attaquant le transmet très lentement, par exemple un octet toutes les deux minutes.

3. Maintien de la connexion – Le serveur, suivant les spécifications du protocole, garde la connexion ouverte en attendant la réception complète des données. Pendant ce temps, les ressources associées à cette connexion restent mobilisées.

4. Multiplication des connexions – L’attaquant répète ce processus sur de multiples connexions simultanées, épuisant progressivement les ressources du serveur.

Schéma expliquant le fonctionnement & le déroulé d'une attaque Slow Post

Comme chaque connexion est techniquement valide, le serveur ne ferme pas immédiatement ces sessions, ce qui conduit à une saturation progressive des connexions disponibles et à un blocage des utilisateurs légitimes.

Pourquoi les attaques Slow Post sont-elles efficaces ?

Les attaques Slow Post se distinguent par leur efficacité, exploitant des caractéristiques spécifiques des serveurs web pour provoquer des dénis de service. Plusieurs facteurs clés contribuent à cette efficacité :

1. Une faible consommation de ressources pour l’attaquant – Contrairement aux attaques DDoS classiques, qui nécessitent d’énormes quantités de bande passante et des milliers de requêtes simultanées, une attaque Slow Post peut être réalisée avec un seul appareil et une connexion Internet standard.

2. Une détection complexe – Le trafic généré ressemble à celui d’un utilisateur légitime disposant d’une connexion lente. Les systèmes de détection basés sur le volume de trafic ou la fréquence des requêtes ont du mal à identifier cette anomalie.

3. Une saturation progressive des ressources serveur – Les serveurs web allouent des ressources à chaque connexion ouverte. Lorsqu’un trop grand nombre de connexions restent bloquées en attente, le serveur ne peut plus traiter de nouvelles requêtes, provoquant une dégradation des performances et, dans certains cas, un arrêt complet du service.

4. Exploitation des serveurs basés sur des threads -Les infrastructures web utilisant une architecture où chaque connexion occupe un thread sont particulièrement vulnérables. Une attaque Slow Post peut rapidement épuiser les threads disponibles, empêchant toute nouvelle connexion légitime.

En combinant ces éléments, les attaques Slow Post parviennent à rendre des services indisponibles de manière discrète et efficace. Mais comment détecter et se prémunir de ce type d’attaque ?

Méthodes de détection des attaques Slow Post

La détection des attaques Slow Post est particulièrement complexe en raison de leur nature discrète et de leur similitude avec le trafic légitime. Plusieurs méthodes peuvent être mises en œuvre pour identifier ces menaces :

Surveillance des connexions HTTP

Une augmentation inhabituelle du nombre de connexions ouvertes avec une faible activité de traitement peut indiquer une attaque en cours. Les serveurs ciblés par des attaques Slow Post présentent souvent un grand nombre de connexions actives, mais une utilisation minimale des ressources processeur et réseau.

Analyse comportementale du trafic

Comparer les schémas de trafic actuels avec des modèles de trafic légitime permet d’identifier des anomalies. Par exemple, une augmentation du nombre de requêtes POST avec des temps de transmission anormalement longs peut signaler une attaque. L’utilisation d’algorithmes d’apprentissage automatique peut aider à distinguer le trafic malveillant du trafic normal en détectant des modèles inhabituels.

Examen des journaux de connexion

L’analyse des logs peut révéler des connexions persistantes avec des taux de transfert de données anormalement bas. Les entrées de journal montrant des requêtes POST dont la réception du corps s’étend sur une période prolongée, sans justification apparente, peuvent être le signe d’une attaque Slow Post. De plus, la répétition de telles connexions depuis une même adresse IP ou une plage d’adresses spécifique peut renforcer cette suspicion.

Pour aller plus loin avec v6Protect

Pour renforcer la protection contre les attaques Slow Post, la solution de v6Protect offre un pare-feu applicatif (WAF) basé sur l’analyse contextuelle qui analyse en temps réel le trafic entrant :

✅ Une analyse avancée : le WAF et le moteur IA analyse en temps réel les requêtes HTTP/ HTTPS et bloque les comportements suspects sans perturber le trafic légitime.

✅ Des règles de sécurité dynamiques : définition de seuils adaptatifs pour détecter et limiter les connexions HTTP POST anormalement lentes.

✅ Une surveillance proactive : analyse en continu des schémas de trafic et détection des anomalies pour anticiper les menaces émergentes.

La plateforme v6Protect assure une protection en profondeur contre les attaques web.

À lire aussi

Comment détecter les vulnérabilités dans vos API et les protéger ?

En savoir plus ➞

Comment maîtriser votre surface d’attaque externe (EASM) ?

En savoir plus ➞

v6Protect

App Security as a Service

Bordeaux, France

NEWSLETTER

Suivez-nous et restez informés des nouveautés

Je m'inscris

© 2025 v6Protect – Mentions Légales