Qu'est-ce qu'une attaque lente et basse ?

Une attaque lente et basse est une attaque DDoS qui vise à arrêter un service web utilisant un trafic HTTP ou TCP extrêmement lent.

Share facebook icon linkedin icon twitter icon email icon

Attaque faible et lente

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définissez une attaque lente et basse
  • Décrivez le fonctionnement des attaques lentes et basses
  • Apprenez à atténuer les attaques lentes et basses

Qu'est-ce qu'une attaque lente et basse ?

Une attaque lente et basse est un type d'attaque DoS ou DDoS qui repose sur un petit flux de trafic très lent qui peut cibler les ressources d'une application ou d'un serveur. Contrairement aux attaques par force brute plus traditionnelles, les attaques lentes et basses nécessitent très peu de bande passante et peuvent être difficiles à atténuer, car elles génèrent un trafic très difficile à distinguer du trafic normal. Comme elles ne nécessitent pas beaucoup de ressources, les attaques lentes et basses peuvent être lancées avec succès en utilisant un seul ordinateur ; deux des outils les plus populaires pour lancer une attaque lente et basse sont appelés Slowloris et R.U.D.Y.

Comment fonctionne une attaque lente et basse ?

Les attaques lentes et basses ciblent les serveurs web à base de threads dans le but de bloquer chaque thread avec des requêtes lentes, empêchant ainsi les véritables utilisateurs d'accéder au service. Pour ce faire, les données sont transmises très lentement, mais juste assez rapidement pour éviter que le serveur ne s'arrête. Pensez à un pont à 4 voies avec un péage pour chaque voie. Les conducteurs s'arrêtent au poste de péage, remettent un billet ou une poignée de pièces, puis traversent le pont, ouvrant ainsi la voie au conducteur suivant. Imaginez maintenant que quatre conducteurs se présentent en même temps et occupent toutes les voies ouvertes pendant qu'ils remettent lentement chacun un centime à l'opérateur du poste de péage, une pièce à la fois, bouchant ainsi toutes les voies disponibles pendant des heures et empêchant les autres conducteurs de passer. Ce scénario incroyablement frustrant est très similaire à la façon dont fonctionne une attaque lente et basse.


Les pirates peuvent utiliser les en-têtes HTTP, les requêtes HTTP post, ou le trafic TCP pour effectuer des attaques lentes et basses. Voici 3 exemples d'attaques courantes.

  • L'outil Slowloris se connecte à un serveur puis envoie lentement des en-têtes HTTP partiels. Le serveur garde alors la connexion ouverte pour pouvoir recevoir la suite des en-têtes, bloquant ainsi le thread.
  • Un autre outil appelé R.U.D.Y. (R-U-DEAD-YET ?) génère des requêtes HTTP pour remplir les champs du formulaire. Il indique aux serveurs la quantité de données à attendre, mais envoie ensuite ces données très lentement. Le serveur maintient la connexion ouverte car il s'attend à recevoir plus de données
  • Un autre type d'attaque lente et basse est l'attaque Sockstress, qui exploite une vulnérabilité dans la poignée de main à trois voies TCP/IP, créant une connexion indéfinie.

Comment arrêter une attaque lente et basse ?

Les techniques de détection de débit utilisées pour stopper les attaques DDoS traditionnelles ne détecteront pas une attaque lente et basse. Une des façons d'atténuer une attaque lente et basse est d'améliorer la disponibilité de votre serveur ; plus votre serveur peut maintenir simultanément un grand nombre de connexions, plus il sera difficile pour une attaque d'encombrer votre serveur. Le problème de cette approche est qu'un pirate peut tenter d'adapter son attaque à la disponibilité de votre serveur. Une autre solution est la protection par proxy inverse, qui atténuera les attaques lentes et basses avant qu'elles n'atteignent votre serveur d'origine. En savoir plus sur la façon dont la protection DDoS de Cloudflare, basée sur le cloud, peut atténuer les attaques lentes et basses.