Il DDOS prevede che l’attacco parta da molte fonti, in questo caso computer zombie che realizzano una bootnet.
Il DDoS necessita di più macchine per effettuare un attacco coordinato riuscendo, grazie alle molteplici risorse utilizzate, a generare enormi flussi di dati, risultando estremamente efficace e difficile da tracciare. Tuttavia è raro che l’attaccante possieda un numero di terminali tale da poter sferrare un attacco in solitaria; risulta quindi necessario infettare computer di terzi, lasciando delle backdoor dalle quali accedere al momento del bisogno. I computer infettati, detti anche Zombie, una volta sotto il controllo dell’Hacker, costituiscono la cosiddetta Botnet che, una volta raggiunte le dimensioni necessarie all’attacco, verrà attivata ai danni del server attaccato. Le connessioni di ultima generazione, consentendo l’invio di quantità sempre maggiori di dati, stanno contribuendo al forte aumento di attacchi DDoS.
Questo attacco è di tipo indiretto: l’attaccante sfrutta terze parti per colpire la vittima. In questo caso l’attaccante si dice riflesso, le terze parti si dicono vittime di secondo livello (zombie) e la vittima finale si dice vittima di primo livello.
L’esempio in analogia è quello di un gruppo di persone che affollano la porta d’ingresso o il cancello di un negozio o di un’azienda, e non consentendo alle parti legittime di entrare nel negozio o nel business, interrompono le normali operazioni. Ciò rende effettivamente impossibile fermare l’attacco semplicemente bloccando una singola fonte.