Une attaque low-and-slow est un type d'attaque par déni de service (DoS) conçu pour échapper à la détection en envoyant du trafic applicatif ou plus fréquemment des requêtes HTTP qui semblent légitimes, mais à un volume est très lent. Également connues sous le nom d'attaques slow-rate, les attaques de type low-and-slow nécessitent peu de bande passante et peuvent être lancées à partir d'un seul ordinateur ou avec un botnet. Le trafic d'une attaque de ce type est difficile à détecter car il semble s'agir d'un trafic de modèle OSI de couche 7 (la couche applicative) légitime et son taux d'envoi ne déclenche pas d'alertes de sécurité volumétriques.

Les attaques par force brute peuvent également utiliser une méthodologie low-and-slow, tentant d'obtenir un accès non autorisé à un compte ou à un système en devinant une combinaison de nom d'utilisateur et de mot de passe à un rythme relativement lent pour éviter la détection ou le déclenchement d'un verrouillage. Les attaquants exploitent de vastes réseaux d'hôtes infectés ou compromis pour mener de telles attaques, allant généralement de plusieurs milliers à plusieurs millions de bots.