Существует два основных типа атак, вызывающих отказ в обслуживании. Первый тип приводит к остановке всей работы системы или сети. Если взломщик посылает жертве данные или пакеты, которые она не ожидает, и это приводит либо к остановке системы, либо к ее перезагрузке, значит, взломщик проводит атаку DDoS, поскольку никто не сможет получить доступ к ресурсам. С точки зрения взломщика, эти атаки хороши тем, что с помощью нескольких пакетов можно сделать систему неработоспособной. В большинстве случаев для того, чтобы вернуть систему в нормальный режим работы, необходима перезагрузка системы администратором. Таким образом, первый тип атак является наиболее разрушительным, поскольку осуществить атаку легко, а для устранения ее последствий требуется вмешательство оператора.

Второй (более распространенный) тип атак приводит к переполнению системы или локальной сети с помощью такого большого количества информации, которое невозможно обработать. Например, если система может обрабатывать только 10 пакетов в секунду, а взломщик отправляет 20 пакетов в секунду, то когда законные пользователи пытаются подключиться к системе, они получают отказ в обслуживании, поскольку все ресурсы заняты. При такой атаке злоумышленник должен постоянно переполнять систему пакетами. После того как он перестает заполнять систему пакетами, проведение атаки прекращается, и система возобновляет нормальную работу. Этот тип атаки требует больше усилий со стороны взломщика, поскольку ему необходимо постоянно активно воздействовать на систему. Иногда этот тип атаки приводит к остановке системы, однако в большинстве случаев восстановление после проведения этой атаки требует минимального вмешательства человека.

При проведении DDoS-атаки второго типа подвергшаяся нападению машина (чаще всего это сервер) получает пакеты одновременно от большого количества машин, хозяева которых сами могут и не подозревать о происходящем. Кроме того, поскольку эти атаки проводятся с широкого диапазона IP-адресов, становится гораздо сложнее блокировать и обнаруживать нападение по той причине, что небольшое количество пакетов с каждой машины может не вызвать реакции со стороны систем обнаружения вторжений. Если атака проводится с одного IP-адреса, его можно блокировать с помощью брандмауэра. Если же задействовано 1000 машин, то блокировать их становится чрезвычайно трудно.

Причем, как правило, атака против единственной жертвы проводится с множества компьютеров, разбросанных по всему миру. Если даже проводимые с одного источника атаки DDoS бывает сложно предотвращать, то можно себе представить, насколько сложнее защищаться от таких атак, которые проводятся с множества машин, расположенных в разных местах. К тому же от атак DDoS защититься довольно сложно еще и потому, что жертва никогда не может исключить полностью возможность ее проведения. Если компьютерная система подключается к Интернету, то всегда есть вероятность того, что взломщик может отправить в нее такое количество данных, которое она будет не в состоянии обрабатывать.

Вот конкретный пример того, как организовываются DDoS-атаки в наши дни - посредством комбинирования компьютерных технологий и приемов социальной инженерии. В Интернете в начале января 2005 года компьютерной компанией Sophos была зафиксирована рассылка почтового вируса, маскирующегося под просьбу помочь жертвам цунами в Юго-Восточной Азии. Вирус приходил в виде письма с заголовком "Tsunami dotation! Please help!" ("Пожертвования на цунами, пожалуйста, помогите") и приложенным исполняемым файлом "tsunami.exe". Собственно, этот файл и содержал вирус. При активации он заражал компьютер пользователя, рассылал свои копии по всем найденным в компьютере адресам и готовился совершить DDoS-атаку на один из немецких хакерских сайтов