从图1可以看出，一个比较完善的DDoS攻击体系包括以下四种角色：

　　(1)攻击者：指黑客所用的机器，也叫做攻击主控台。它控制着整个攻击过程，向主控端发送攻击命令。

　　(2)主控端：是攻击者非法侵入并控制的一些机器，这些主机则控制大量的代理攻击主机。并在这些主控端上面安装特定的程序，以便使它可以接受攻击者发来的特殊命令，并且能够把这些命令发送到代理攻击端主机上。

　　(3)代理攻击端：同样也是攻击者侵入并控制的一批主机，其上面运行攻击程序，接受和运行主控端发来的命令。代理攻击端主机是攻击的执行者，真正的向受害者主机发送攻击。

　　(4)受害者：被攻击的目标主机或者服务器。

　　为了发起DDoS攻击，攻击者首先在互联网上扫描出有漏洞的主机，然后进入系统后在并在上面安装后门程序。接着在攻击者入侵的主机上安装攻击程序，其中的一部份主机充当攻击的主控端，另一部份则充当攻击的代理攻击端。最后各部分主机在攻击者操作下对攻击目标发起攻击。因为攻击者在幕后操纵，所以在攻击时攻击者不会受到监控系统的跟踪，攻击者的身份更不易被发现。

　　2.3、DDoS攻击的工具

　　Trinoo[2]是第一个分布很广的DDoS攻击工具而且应用也很广泛。Trinoo[3]是一个消耗带宽的攻击工具，用一个或者多个IP地址来发起协作性的UDP洪水攻击。攻击用同样大小的UDP数据包，攻击的目标是受害机器上的随机端口。早期版本的Trinoo支持源IP地址欺骗。典型的是，Trinoo代理安装在能够使得远端的缓冲区溢出的系统上。软件中的这个漏洞允许攻击者用受害者系统的二级缓存来进行远端编辑和安转运行代理。操作者用UDP或者TCP来和代理端进行通信，因此入侵检测系统只能通过对UDP流量进行嗅探才能够发现它们。这个通道能够加密而且密码也可以受到保护。然而当前的密码不是以加密的方式传送，因此它可以被嗅探，或者被检测出来。现在的Trinoo工具没有提供源IP地址欺骗，因此它的攻击能力可以进一步扩展。

　　Tribe Flood Network (TFN)[4]也是一种DDoS攻击工具，它提供给攻击者可以同时发起损耗带宽和损耗资源的攻击。它使用命令行界面在攻击者和控制主程序之间进行通信，但是在代理端和主控端间或者在主控端和攻击者之间提供的通信是没有加密的。TFN发起协作性的拒绝服务攻击，是非常难于计算出来因为它能产生多种类型的攻击，能产生欺骗的源IP地址的数据包而且能够使目标端口随机化。它能够欺骗一位或者是32位的源IP地址，或者是后8位。TFN发起的一些数据包攻击包括：smurf，UDP洪水攻击，TCP SYN洪水，ICMP 回复请求洪水攻击和ICMP定向广播。

　　TFN2K[5]是一种基于TFN结构的DDoS攻击工具。TFN2K攻击增加了对构成攻击的所有组成部分之间的通信消息进行了加密[6]。真正攻击者和控制主程序之间的通信用基于密钥的CAST-256算法进行加密。控制者可以通过TCP，UDP，ICMP来发送攻击命令，可以用这三种中随机的一种，或者是把这三种全用上，则通过网络扫描就更难发现TFN2K攻击了。