Slowloris 攻擊是什麼

　Slowloris 攻擊是一種 DDoS 攻擊手法，是位於 OSI 模型中第七層應用層的攻擊，它透過持續發送不完整的 HTTP 請求標頭，讓伺服器誤以為連線還在進行，最終導致資源耗盡，同時 Slowloris 攻擊是屬於「低速緩慢攻擊」的一種攻擊方式。

※低速緩慢攻擊：不靠高流量卻能悄悄癱瘓伺服器的攻擊方式。

Slowloris 攻擊原理

　Slowloris 攻擊是典型的低速緩慢 DDoS 攻擊，其目標是耗盡網站伺服器的連線資源，使之無法在處理正常使用者的請求。運作方式如下。

1. 建立大量半開連線
   攻擊者與目標伺服器建立大量 HTTP 連線，但並不完整發送請求，而是保持在「部分請求尚未結束」的狀態，例如每隔幾秒只傳送一行，這會導致伺服器保持連線開啟等待資料完成。

2. 持續發送零碎資料
   攻擊者每隔一小段時間，故意傳送一些「不完整的 HTTP 標頭」，這讓伺服器以為客戶端還在傳輸資料，於是會保留連線並等待。

3. 耗盡連線資源
   攻擊者重複上述動作，開啟大量「未完成的 HTTP 請求」，最終讓伺服器連線數被占滿，無法再接受正常使用者的請求。

4. 維持低頻寬攻擊
   因為每次只傳送極少量的資料，Slowloris 幾乎不消耗攻擊者的頻寬資源，但卻能讓伺服器維持大量「假連線」，導致服務拒絕。

　Slowloris 攻擊的特徵在於它的攻擊流量很小，難以從頻寬異常偵測出來。

Slowloris 攻擊情境

　現在我們用幾個簡單的生活情境來比喻 Slowloris 攻擊，這樣讀者可以更容易理解。

情境一：餐廳點餐佔位

你去餐廳點餐，點餐的方式是...

• 你先跟服務生說：「我要一碗牛肉麵…」

• 然後停下來，過一分鐘再補一句：「再加點青菜…」

• 再過一分鐘說：「啊對了，湯要熱的…」

你每次只講一點點，卻遲遲不把整個訂單說完，於是服務生必須一直站在你旁邊等你講完，因此無法去服務其他客人。

• 你 = 攻擊者

• 服務生 = Web 伺服器

• 拖著不講完的訂單 = 不完整的 HTTP 請求

• 其他客人等不到服務 = 正常使用者無法連線

情境二：銀行櫃台辦業務

攻擊者派出了很多人去銀行辦業務，但那家銀行只有五個櫃台...

• 每個人到櫃檯就說：「我要辦理匯款…」

• 但只填一行資料，然後就停下來不寫了。

• 過幾分鐘再寫一點點，讓櫃員一直等。

因為這些假客人的緩慢填寫資料，導致這五個櫃台都被他們占滿，真正要辦業務的人就只能排隊卻遲遲輪不到自己。

• 假客戶 = Slowloris 攻擊連線

• 櫃台 = 伺服器的可用連線

• 一直不寫完的表單 = 未完成的 HTTP 標頭

• 真正的客戶輪不到 = 正常使用者無法獲得服務

　這些情境正好比 Slowloris 攻擊，看似只是拖延，但卻能長時間佔住資源，讓真正的服務需求被阻擋。

如何防禦Slowloris 攻擊

　Slowloris 攻擊屬於低頻、應用層的 DDoS 攻擊，所以防禦上要從伺服器設定、網路設備與防護服務多層次下手。

1. 縮短等待時間
   設定伺服器不要長時間等待不完整的請求。

2. 限制連線數
   控制單一 IP 能同時建立的連線數量。

3. 啟用反向代理或負載平衡
   使用 CDN 或雲端 WAF 作為前端代理。由代理伺服器處理與用戶端的「慢連線」，再將完整請求轉發給後端，避免後端伺服器直接暴露。

4. 使用模組或防禦工具
   部署專門的 DDoS 防禦系統，可針對低速攻擊進行行為分析。

5. 監控異常流量
   偵測長時間未完成的連線並自動封鎖。

6. 雲端防護服務
   使用 CDN + 雲端 DDoS 防禦，能在邊緣節點就攔截攻擊流量，這類服務通常具備 行為式防禦，能辨識「正常慢速請求」與「惡意 Slowloris」的差異。

　Slowloris 雖然攻擊頻寬小、隱蔽性強，但只要透過 縮短等待時間、限制連線數、前端代理、專用防護工具與雲端防禦，大多可以有效抵禦。因此，企業除了基礎伺服器設定外，建議搭配雲端防護與即時監控，才能全面降低 Slowloris 帶來的風險。