这儿用"机构"这个词，是由于DDoS并不像侵入一台服务器那样简单。一般来说，黑客开展DDoS攻击的时候会历经那样的流程：

1. 收集掌握总体目标的状况

下述状况是黑客十分关注的资源：

被攻击总体目标服务器数量、详细地址状况

总体目标服务器的配备、特性

总体目标的网络带宽

针对DDoS攻击者而言，攻击互联网技术上的某一网站，如http://www.mytarget.com，有一个关键便是明确究竟有多少台服务器在适用这一网站，一个大的网址很有可能有很多台服务器利用web服务技术性出示同一个网址的www服务项目。以yahoo为例子，一般会出现下述详细地址全是出示http://www.yahoo.com 服务项目的：

66.218.71.87

66.218.71.88

66.218.71.89

66.218.71.80

66.218.71.81

66.218.71.83

66.218.71.84

66.218.71.86

假如要开展DDoS攻击得话，应当攻击哪一个详细地址呢？使66.218.71.87这台设备瘫掉，但别的的服务器還是能向外出示www服务项目，因此想让他人浏览不上http://www.yahoo.com 得话，要全部这种IP地址的设备都瘫掉才行。在具体的运用中，一个IP地址通常还意味着着多台设备：网址维护者应用了四层或七层交换机来做web服务，把对一个IP地址的浏览以特殊的优化算法分派到属下的每一个服务器上来。这时候针对DDoS攻击者而言状况就更繁杂了，他应对的每日任务可能是让几十台服务器的服务项目都异常。

所以说事前搜集情报对DDoS攻击者而言是十分关键的，这关联到应用是多少台傀儡机才可以达到效果的难题。简易地考虑一下，在同样的标准下，攻击同一网站的2台服务器必须2台傀儡机得话，攻击5台服务器很有可能就必须5台之上的傀儡机。有些人说做攻击的傀儡机愈多愈好，无论您有是多少台服务器我还用尽可能多的傀儡机来攻便是了，总之傀儡机超出了情况下实际效果更强。

但在具体全过程中，有很多黑客并不开展资源的收集而立即开展DDoS的攻击，此刻攻击的片面性就非常大了，实际效果怎样还要靠运势。实际上做黑客也象网管员一样，是不可以懒惰的。一件事做的好与坏，心态最重要，水准仍在次之。

2. 攻占傀儡机

黑客最很感兴趣的是有下述状况的服务器：

链接情况好的服务器

特性好的服务器

安全性管理能力差的服务器

这一部分事实上是应用了另一大类的攻击方式：利用形攻击。它是和DDoS并排的攻击方法。简易地说，便是攻占和操纵被攻击的服务器。获得最大的管理员权限，或是最少获得一个有管理权限进行DDoS攻击每日任务的账号。针对一个DDoS攻击者而言，准备好一定总数的傀儡机是一个必需的标准，下边说一下他是怎样攻击并攻占他们的。

最先，黑客做的工作中一般是扫描仪，任意地或是是有目的性地利用扫描枪去发觉互联网技术上这些有系统漏洞的设备，象程序流程的外溢系统漏洞、cgi、Unicode、ftp、数据库查询系统漏洞…(真是不胜枚举啊)，全是黑客期待见到的扫描结果。接着便是试着侵入了，实际的方式就没有这儿多讲了，很感兴趣得话在网上有很多有关这种內容的文章内容。

总而言之黑客如今攻占了一台傀儡机了！随后他干什么呢？除开上边说过留侧门擦足印这种基础工作中以外，他会把DDoS攻击用的程序流程上传以往，一般是利用ftp。在攻击机里，会有一个DDoS的分包程序流程，黑客便是利用它来向被害总体目标推送故意攻击包的。

3. 具体攻击

历经前两个环节的精心准备以后，黑客就逐渐看准总体目标提前准备发送了。前边的提前准备做的好得话，具体攻击全过程反倒是非常简单的。就象图例里的那般，黑客登陆到作为控制面板的傀儡机，向全部的攻击机传出指令："准备~ ，看准~，开枪!"。此刻伏击在攻击机中的DDoS攻击程序流程便会回应控制面板的指令，一起向被害服务器以高速运行推送很多的数据文件，造成 它卡死或者没法回应一切正常的要求。黑客一般会以远远地超过被害方解决工作能力的速率开展攻击，她们不容易"惜香怜玉"。

老到的攻击者一边攻击，还会继续用各种各样方式来监控攻击的实际效果，在必须的情况下开展一些调节。简易些便是开家对话框不断ping总体目标服务器，在能收到回复的情况下就再增加一些总流量或者再指令大量的傀儡机来添加攻击。