DDoS的原理：
首先，攻击者通过利用系统服务的漏洞或者管理员的配置错误等方法，来进入一些安全措施较差的小型站点以及单位中的服务器。然后，攻击者在所侵入的服务器上安装攻击软件。其目的在于隔离网络联系，保护攻击者，使其不会在攻击进行时受到监控系统的跟踪，同时也能够更好地协调进攻。再后，攻击者从攻击控制台向各个攻击服务器发出对特定目标的攻击命令。攻击器接到攻击命令后，就开始每一个攻击器都会向目标主机发出大量的服务请求数据包。这些数据包经过伪装，无法识别它的来源。而且，这些包所请求的服务往往要消耗较大的系统资源，如CPU或网络带宽，这就会导致目标主机网络和系统资源的耗尽，从而停止服务，甚至会导致系统崩溃。
由于攻击者所用的协议都是常见的协议和服务，系统管理员难于区分恶意请求和正常连接请求，从而无法有效分离出攻击数据包。由于攻击者的位置十分隐蔽，而且当攻击的命令传送到服务器后，攻击者就可以关闭自己的电脑，所以很难对其进行追踪。

DDoS的体系结构：
分布式拒绝服务攻击采用了一种比较特别的体系结构，从许多分布的主机同时攻击一个目标，从而导致目标瘫痪。目前所使用的入侵监测和过滤方法对这种类型的入侵都不起作用。所以，为了找出这种攻击的漏洞，从而有效地监测和捕获这种入侵，必须对其所用的工具进行具体分析。
DDoS采用一种三层客户服务器结构。
最下层是攻击的执行者。这一层由许多网络主机构成，其中包括Unix，Linux，Mac等各种各样的操作系统。攻击者通过各种办法获得主机的登录权限，并在上面安装攻击器程序。这些攻击器程序中一般内置了上面一层的某一个或某几个攻击服务器的地址，其攻击行为受到攻击服务器的直接控制。
攻击服务器。攻击服务器的主要任务是将控制台的命令发布到攻击执行器上。
这些服务器与攻击执行器一样，安装在一些被侵入的无关主机上。
攻击主控台。攻击主控台可以是网络上的任何一台主机，甚至可以是一个活动的便携机。它的作用就是向第二层的攻击服务器发布攻击命令。