分布式拒绝服务攻击使用与普通的拒绝服务攻击同样的方法，但是发起攻击的源是多个。通常攻击者使用下载的工具渗透无保护的主机，当获得该主机的适当的访问权限后，攻击者在主机中安装软件的服务或进程（以下简称代理或傀儡机）。

    这些代理保持睡眠状态，直到从它们的主控端得到指令，对指定的目标发起拒绝服务攻击。随着危害力极强的黑客工具的广泛传播使用，分布式拒绝服务攻击可以同时对一个目标发起几千个攻击。单个的拒绝服务攻击的威力也许对带宽较宽的站点没有影响，而分布于全球的几千个攻击将会产生致命的后果。

    一个DDoS攻击一般分为四个阶段——

    第一阶段是目标确认：黑客会在互联网上锁定一个企业网络的IP地址。这个被锁定的IP地址可能代表了企业的 Web服务器，DNS服务器，互联网网关等。而选择这些目标进行攻击的目的同样多种多样，比如为了赚钱(有人会付费给黑客攻击某些站点)，或者只是以破坏为乐。

    第二个阶段是占领傀儡机阶段：这一阶段实际上是使用了另一大类的攻击手段：利用形攻击。简单地说，就是占领和控制被攻击的主机。取得最高的管理权限，或者至少得到一个有权限完成DDoS攻击任务的帐号。黑客想要占领的傀儡机是链路状态好、性能高、安全性差的主机。

    第三个阶段植入程序阶段：在占领傀儡机之后，黑客在主控端上安装主控制软件master;在代理端上安装守护程序daemon。代理端主机上的守护程序在指定端口上监听来自主控端主机发送的攻击命令,而主控端主机接受从攻击者计算机发送的指令。为了安全起见,黑客要傀儡机上安装ROOT KIT程序,使主控制软件和守护程序本身不被傀儡机的管理员发现。

    第四个阶段是实际攻击阶段：黑客命令这些计算机利用预先植入的攻击工具不断向攻击目标发送数据包，使得目标无法处理大量的数据或者频宽被占满。