Ý tƣởng cơ bản của loại tấn công này là khai thác điểm yếu của cơ chế Timeout. Trong loại tấn công này, kẻ tấn công sẽ truyền những xung vuông ngắn với chu kỳ gần với giá trị RTO của các kết nối TCP đang diễn ra. Các xung ngắn này làm cho các gói tin bị mất, dẫn đến các dòng TCP rơi vào trạng thái timeout, và liên tục thất bại khi cố gắng phát lại gói tin. Do đó, thông lƣợng hầu nhƣ là bằng không.
Hình 2.3: Tấn công LDoS
Tấn công DoS tốc độ thấp nhằm vào giao thức TCP có 3 thuộc tính: tốc độ gửi gói tin (the send rate), độ dài thời gian của một lần bùng nổ gói tin (the burst length), khoảng thời gian cách nhau giữa 2 lần bùng nổ gói tin liên tiếp tính từ thời điểm bắt đầu của lần bùng nổ gói tin thứ nhất cho đến thời điểm bắt đầu của lần bùng nổ gói tin tiếp theo (the inter-burst period).
Tốc độ mà kẻ tấn công gửi các gói tin vào mạng đƣợc gọi là tốc độ gửi gói tin (Rb). Để làm cho mất gói tin và làm cho các dòng TCP rơi vào trạng thái timeout thì tốc độ gửi gói tin phải lớn hơn băng thông của kết nối nghẽn cổ chai.
Độ dài thời gian của một lần bùng nổ gói tin là khoảng thời gian mà kẻ tấn công phát tràn gói tin trong mỗi lần bùng nổ gói tin (Tb). Nó phụ thuộc vào giá trị RTT của mỗi dòng kết nối TCP, phụ thuộc vào tốc độ gửi gói tin và băng thông của kết nối nghẽn cổ chai. Nếu độ dài thời gian của một lần bùng nổ gói tin quá dài, kẻ tấn công có thể bị phát hiện.
Khoảng thời gian cách nhau giữa 2 lần bùng nổ gói tin liên tiếp là tần số mà kẻ tấn công phát tràn gói tin (Ta). Kẻ tấn công mong muốn chọn đƣợc giá trị của thuộc tính này tƣơng ứng một cách chính xác với giá trị RTO bởi vì kẻ tấn công có thể thay đổi thông lƣợng của các dòng TCP trong khi gửi đi ít nhất các gói tin và giảm nguy cơ bị phát hiện.