Slowloris to odmiana ataku typu DoS na warstwę aplikacyjną, który jednak nie zalewa serwera dużym wolumenem ruchu. Zamiast tego utrzymuje wiele połączeń HTTP otwartych jak najdłużej. Atakujący wysyła poprawnie rozpoczęte żądania, ale celowo ich nie kończy. Serwer trzyma więc zasoby dla sesji, które wyglądają na aktywne, choć w praktyce niczego nie wnoszą. Przy dużej liczbie takich połączeń pula obsługiwanych sesji się wyczerpuje i realni użytkownicy przestają być obsługiwani.

Od innych ataków DDoS i DoS Slowloris różni się tym, że nie opiera się na masowym zalewaniu pakietami ani ogromną liczbą żądań na sekundę. Nie przeciąża CPU czy pasma, lecz wyczerpuje zasoby związane z utrzymaniem sesji i obsługą żądań oczekujących.

Wykrycie ataku jest możliwe, ale wymaga patrzenia na właściwe wskaźniki. Alarmujące z tego puntu widzenia są:

• liczne połączenia HTTP w stanie długiego oczekiwania,
• niekompletne nagłówki,
• niski transfer na sesję,
• wysoki czas utrzymania połączenia,
• szybkie wyczerpywanie limitów współbieżności przy braku proporcjonalnego wzrostu ruchu.

Jeśli liczba otwartych połączeń rośnie, a ruch i wykorzystanie CPU nie zwiększają się, może to wskazywać na trwający atak typu Slowloris.

Według 2026 Global Threat Analysis Report firmy Radware liczba ataków typu Web DDoS wzrosła w 2025 roku o 101,4% w porównaniu do poprzedniego roku. Dotyczy to także ataków o niskim wolumenie.

Branże szczególnie narażone na atak Slowloris to:

• E-commerce – sklepy działają w modelu ciągłej dostępności. Slowloris blokuje obsługę sesji, co zatrzymuje sprzedaż i zwiększa liczbę „porzuconych” koszyków.
• Finanse – systemy bankowe i płatności wymagają stałego dostępu. Nawet krótki atak może przerwać operacje i wpłynąć na zaufanie klientów.
• Ochrona zdrowia – portale pacjenta i rejestracja online zależą od HTTP. Niedostępność oznacza realne zakłócenia obsługi.
• Administracja publiczna – serwisy urzędowe są częstym celem ataków zakłócających działanie.
• SaaS – aplikacje dostępne przez przeglądarkę tracą dostępność przy wyczerpaniu połączeń.
• Media online – serwisy informacyjne są wrażliwe na spadki dostępności, zwłaszcza przy dużym zainteresowaniu użytkowników.
• Transport i logistyka – systemy śledzenia i zarządzania przesyłkami wymagają ciągłego działania interfejsów webowych.

Slowloris jest szczególnie niebezpieczny dla organizacji, które opierają kluczowe procesy na dostępności usług HTTP i mają ograniczone zasoby współbieżnych połączeń.

Skuteczny atak Slowloris nie przypomina spektakularnej awarii sieci, jak ma to miejsce w przypadku ataków o dużym natężeniu. Aplikacje przestają działać, pomimo relatywnie małego ruchu. Według The DDoS Threat Spectrum przeciwko pojedynczemu serwerowi Apache 2 Slowloris zakłócił dostępność usługi przy zaledwie 394 otwartych połączeniach.

Możliwe konsekwencje ataku Slowloris to

• utrata przychodów – jeśli klient nie może się zalogować, złożyć zamówienia lub opłacić usługi, sprzedaż się zatrzymuje;
• naruszenie SLA – dopuszczanie całego ruchu między segmentami sieci zamiast precyzyjnego filtrowania niweluje korzyści wynikające z segmentacji,
• wzrost kosztów operacyjnych – zespół IT przekierowuje zasoby na analizę incydentu i usunięcie jego skutków, a inne prace schodzą na dalszy plan;
• przeciążenie obsługi klienta – gdy portal nie odpowiada, rośnie liczba zgłoszeń i telefonów, zwiększając koszty obsługi;
• straty wizerunkowe – użytkownicy zwykle nie odróżniają awarii od ataku, widzą natomiast brak usługi, a to obniża zaufanie do marki;
• straty wizerunkowe – użytkownicy zwykle nie odróżniają awarii od ataku, widzą natomiast brak usługi, a to obniża zaufanie do marki;
• utrata klientów – przy powtarzających się zakłóceniach część odbiorców przechodzi do konkurencji.

Z biznesowego punktu widzenia Slowloris jest groźny, dlatego że potrafi wywołać niedostępność przy relatywnie małym ruchu. Utrudnia to szybką diagnozę i wydłuża czas reakcji.

Ochrona przed atakami typu Slowloris wymaga precyzyjnej konfiguracji serwera oraz wsparcia narzędziami, które analizują ruch w czasie rzeczywistym. W przeciwieństwie do ataków socjotechnicznych w tym przypadku trzeba skupić się na rozwiązaniach technicznych.

Najważniejsze działania zabezpieczające:

• ograniczenie czasu oczekiwania – krótszy timeout dla nagłówków HTTP zmniejsza ryzyko utrzymywania niepełnych połączeń,
• reverse proxy i load balancer – warstwa pośrednia filtruje wolne żądania i chroni zasoby aplikacji,
• monitoring metryk HTTP – analiza liczby otwartych sesji i czasu ich trwania pozwala szybciej wykryć anomalię.

W praktyce sama konfiguracja serwera nie zawsze wystarcza. Netia DDoS Protection rozszerza ochronę o analizę ruchu na poziomie sieci i aplikacji. Dzięki temu identyfikuje wzorce charakterystyczne dla ataków low-rate i blokuje je, zanim wpłyną na dostępność usług.

Można podejść kompleksowo do zwiększania poziomu cyberbezpieczeństwa, korzystając ze wsparcia specjalistów z Security Operations Center Netii, którzy zapewniają ciągły nadzór nad infrastrukturą. Zespół analityków wykorzystuje narzędzia SIEM i SOAR, które pozwalają błyskawicznie reagować na wykryte anomalie.