Klasyczne ataki odmowy usługi (Denial of Service, DoS), polegają na wysyłaniu bardzo dużej liczby zapytań do serwera w krótkim czasie w celu przeciążenia go. Nieraz wysyłane są one z wielu miejsc, wtedy mówimy o rozproszonym ataku DoS (Distributed DoS, DDoS). Powstał jednak pomysł ataku DoS, który wymagałby wysyłania małej ilości danych. Pisano o nim już dwa lata temu, ale dopiero teraz pojawiło się odpowiednie narzędzie.
Tym programem jest Slowloris. Łączy się on z serwerem WWW i wysyła do niego niekompletny nagłówek HTTP. Nie rozłącza się jednak a serwer czeka na resztę nagłówka. Slowloris nawiązuje wiele takich połączeń i powoduje, że na serwerze wisi wiele połączeń, co zazwyczaj powiązane jest ze stworzeniem wielu wątków. Serwer zawsze ma jakieś ograniczenie na ilość połączeń lub wątków więc Slowloris powoduje wykorzystanie ich wszystkich. Gdy połączenie próbuje nawiązać normalny użytkownik, jego żądanie nie zostaje obsłużone gdyż serwer przekroczył swoje limity.
Działa więc to trochę podobnie do ataku DoS wykorzystującego półotwarte połączenia TCP. Tutaj jednak ma to miejsce na poziomie HTTP a same połączenia TCP są pełne. Co ciekawe podczas ataku nie ma po nim śladu w logach, są one zapisywane bowiem dopiero po odebraniu pełnego zapytania. Dopiero po rozłączeniu pojawi się dużo wpisów z kodem 400.
Jak wykazały eksperymenty, podatne serwery WWW to: Apache 1.x, Apache 2.x, dhttpd, GoAhead WebServer a także Squid. Z kolei nie są podatne: IIS6.0, IIS7.0 i lighttpd. Narzędzie jest napisane w perlu, może więc działać pod różnymi systemami. Na Windows jednak nie działa ze względu na limity ilości gniazd.