如图一，一个比较完善的DDoS攻击体系分成四大部分，先来看一下最重要的第2和第3部分：它们分别用做控制和实际发起攻击 。请注意控制机与攻击机的区别，对第4部分的受害者来说 ， DDoS的实际攻击包是从第3部分攻击傀儡机上发出的，第2部分的控制机只发布命令而不参与实际的攻击 。对第2和第3部分计算机，黑客有控制权或者是部分的控制权，并把相应的DDoS程序上传到这些平台上 ， 这些程序与正常的程序一样运行并等待来自黑客的指令 ， 通常它还会利用各种手段隐藏自己不被别人发现 。在平时，这些傀儡机器并没有什么异常，只是一旦黑客连接到它们进行控制，并发出指令的时候，攻击傀儡机就成为害人者去发起攻击了 。
有的朋友也许会问道："为什么黑客不直接去控制攻击傀儡机，而要从控制傀儡机上转一下呢？" 。这就是导致DDoS攻击难以追查的原因之一了 。做为攻击者的角度来说，肯定不愿意被捉到（我在小时候向别人家的鸡窝扔石头的时候也晓得在第一时间逃掉，呵呵），而攻击者使用的傀儡机越多，他实际上提供给受害者的分析依据就越多 。在占领一台机器后，高水平的攻击者会首先做两件事：1. 考虑如何留好后门（我以后还要回来的哦）！2. 如何清理日志 。这就是擦掉脚印，不让自己做的事被别人查觉到 。比较不敬业的黑客会不管三七二十一把日志全都删掉 ， 但这样的话网管员发现日志都没了就会知道有人干了坏事了，顶多无法再从日志发现是谁干的而已 。相反，真正的好手会挑有关自己的日志项目删掉，让人看不到异常的情况 。这样可以长时间地利用傀儡机 。
但是在第3部分攻击傀儡机上清理日志实在是一项庞大的工程，即使在有很好的日志清理工具的帮助下 ， 黑客也是对这个任务很头痛的 。这就导致了有些攻击机弄得不是很干净，通过它上面的线索找到了控制它的上一级计算机，这上级的计算机如果是黑客自己的机器，那么他就会被揪出来了 。但如果这是控制用的傀儡机的话 ， 黑客自身还是安全的 。控制傀儡机的数目相对很少，一般一台就可以控制几十台攻击机，清理一台计算机的日志对黑客来讲就轻松多了，这样从控制机再找到黑客的可能性也大大降低 。
黑客是如何组织一次DDoS攻击的？
这里用"组织"这个词，是因为DDoS并不象入侵一台主机那样简单 。一般来说，黑客进行DDoS攻击时会经过这样的步骤：
1. 搜集了解目标的情况
下列情况是黑客非常关心的情报：
被攻击目标主机数目、地址情况
目标主机的配置、性能
目标的带宽
对于DDoS攻击者来说 ， 攻击互联网上的某个站点，如http://www.mytarget.com ， 有一个重点就是确定到底有多少台主机在支持这个站点，一个大的网站可能有很多台主机利用负载均衡技术提供同一个网站的www服务 。以yahoo为例，一般会有下列地址都是提供http://www.yahoo.com服务的：

• 为什么红薯粉煮了20分钟还硬,为什么粉条煮不烂
• 骨胶原高钙片,应该给爸爸什么钙片呢？
• 不小心退出微信账号怎么登录,微信绑定的手机号码停机了,微信不小心退出了,怎么重新登陆？
• 吃车厘子的季节是哪几月,车厘子季节是什么时候
• 173开头的手机号是哪里的,173开头的电话号码归属地是哪里？
• 冬季有什么水果是当季的,冬天有哪些应季水果？
• java是什么,JAVA是什么？
• 脸上为什么会长痤疮呢,脸上长痤疮是什么原因
• 春季健康小贴士,春季健身适合做的运动有哪些