DDOS innebär att en angripare anfaller ett mål utnyttjande en 'arme' (ett botnet) av hackade datorer (droner). Det finns botnets som omfattar hundratusentals datorer. Ofta kontrolleras dessa genom att de ansluter sig till en IRC-kanal och inväntar kommandon. Det finns även andra typer av botnets, exempelvis de som kommunicerar via http, dns-frågor eller icmp-meddelanden.
Det förekommer att käll-IP är förfalskat i DOS-paketen, men det är mindre vanligt nuförtiden då angriparen ofta disponerar så många droner att det inte spelar någon större roll för honom ifall några upptäcks. Förfalskade adresser förekommer dock när andra maskiner används som DOS-förstärkare, exempelvis vid DNS-dos (man skickar fejkade korta udp-frågor vilka resulterar i långa svar med offrets källadress till öppna DNSservrar).
Dronerna sprids ofta med hjälp av trojaner / maskar varför det är viktigt att hålla ens maskiner uppdaterade och trojanfria.
Se här om motmedel mot DOS-attacker