Hệ thống phát hiện và phản ứng lại tấn công DDoS được thiết kế theo mô hình phân lớp xử lý dịch vụ. Mô hình phân lớp này cho phép các thành phần được phát triển độc lập tại từng lớp. Lớp mới chỉ cần thỏa mãn các giao diện lập trình tại các điểm kết nối của lớp là có thể hoạt động với lớp trên và dưới.
Lớp dưới cùng của hệ thống HEDDAD là lớp xử lý gói tin. Lớp này trực tiếp đọc các gói tin từ giao diện mạng qua thư viện libpcap. Tại đây, các gói tin được xử lý sơ bộ như: ghép lại thành các kết nối, xử lý những gói tin phân mảnh, nhận dạng các dịch vụ trong kết nối… Lớp này cũng là lớp điều khiển việc chuyển tiếp gói tin hay điều tiết gói tin. Khái niệm chuyển tiếp được sử dụng khi hệ thống hoạt động bình thường, không có cuộc tấn công nào. Tại thời điểm này, các gói tin chuyển qua hệ thống sẽ được sao chép để xử lý và chuyển tiếp ngay lập tức. Trong điều kiện xảy ra tấn công, các gói tin sẽ được đưa qua một bộ điều tiết để hạn chế các kết nối đến hệ thống. Mục tiêu là đảm bảo cho các khách hàng được phục vụ với chất lượng dịch vụ tối thiểu cần có.
Lớp tiếp theo của hệ thống là lớp xử lý tính toán các đặc trưng để phục vụ cho công tác phát hiện hoặc phản ứng bên trên. Tại đây, các thông tin đặc trưng sẽ được trích, chọn để lưu trữ, tính toán. Các thông tin được sử dụng: địa chỉ IP nguồn của kết nối, tần xuất của kết nối, entropy của khung lấy mẫu.
Lớp trên cùng đảm nhận các công tác xử lý logic. Dựa vào những tính toán về entropy, về địa chỉ IP từ các lớp dưới chuyển lên, hệ thống so sánh, đưa ra những quyết định về việc có hay không cuộc tấn công từ chối dịch vụ. Trong trường hợp có tấn công, các danh sách địa chỉ IP đã được lưu trữ sẽ được sử dụng để phản ứng lại. Bên cạnh đó, lớp này cũng làm các công tác lưu trữ, nhận dạng chữ ký tấn công để có thể sử dụng lại về sau.