首先在2009年发现，HTTP POST攻击发送一个完整的，合法的HTTP POST头，其中包括一个“Content-Length”字段来指定要遵循的消息体的大小。然而，攻击者然后继续以非常慢的速率（例如1字节/ 110秒）发送实际的消息体。由于整个消息是正确和完整的，目标服务器将尝试服从头部中的“Content-Length”字段，并且等待消息的整个主体被传输，这可能需要很长的时间。攻击者建立数百甚至数千个这样的连接，直到用于服务器（受害者）上的传入连接的所有资源用完，因此使得任何进一步的（包括合法的）连接不可能，直到所有数据已被发送。值得注意的是，与许多其他（D）DoS攻击，尝试通过超载其网络或CPU来抑制服务器，HTTP POST攻击目标受害者的逻辑资源，这意味着受害者仍然有足够的网络带宽和处理电源工作。[27]此外，Apache将默认接受大小为2GB的请求，这种攻击可能特别强大。HTTP POST攻击很难与合法连接区分开来，因此能够绕过某些保护系统。OWASP是一个开源 Web应用程序安全项目，已经发布了一个测试工具，用于测试服务器的安全性以防这类攻击。