按攻擊所針對的網(wǎng)絡(luò )層次可以把DDoS攻擊分為：網(wǎng)絡(luò )層DDoS（Net-DDoS）攻擊和App-DDoS攻擊。Net-DDoS攻擊主要是利用了現有低層（包括IP層和TCP層）協(xié)議的漏洞來(lái)發(fā)動(dòng)攻擊。典型的攻擊方式是：使用偽造IP地址的攻擊節點(diǎn)向目標主機發(fā)送大量攻擊分組（TCP、 ICMP、UDP等分組），利用TCP的三次握手機制使目標服務(wù)器為維護一個(gè)非常大的半開(kāi)放連接列表而消耗非常多的CPU和內存資源，最終因為堆棧溢出而導致系統崩潰無(wú)法為正常用戶(hù)提供服務(wù)。

     App-DDoS攻擊雖然還是利用洪水式的攻擊方法，但與Net-DDoS攻擊不同的是它利用了高層協(xié)議，例如HTTP。由于高層協(xié)議的多樣性與復雜性，App-DDoS攻擊很難被檢測到，而且高層協(xié)議通常具有較強的功能，可以實(shí)現多種復雜的功能，因此App-DDoS攻擊所產(chǎn)生的破壞力遠大于傳統的Net-DDoS攻擊。App-DDoS攻擊有以下兩種攻擊方式：帶寬耗盡型和主機資源耗盡型。帶寬耗盡型（例如HTTPFlooding）的目標是通過(guò)大量合法的HTTP請求占用目標網(wǎng)絡(luò )的帶寬，使正常用戶(hù)無(wú)法進(jìn)行Web訪(fǎng)問(wèn)。攻擊的具體實(shí)現可以有多種不同的方式。攻擊者可以通過(guò)單線(xiàn)程或多線(xiàn)程向目標 Web服務(wù)器發(fā)送大量的HTTP請求，這些請求可以隨機生成也可以通過(guò)攔截用戶(hù)的正常請求序列然后重放產(chǎn)生。請求內容可以是Web服務(wù)器上的正常頁(yè)面（例如主頁(yè)），也可以是重定向頁(yè)面、頭信息或某些錯誤文檔，更復雜的可以是對動(dòng)態(tài)內容、數據庫查詢(xún)的請求。攻擊者甚至可以模擬搜索引擎采用遞歸方式，即從一個(gè)給定的HTTP鏈接開(kāi)始，然后以遞歸的方式順著(zhù)指定網(wǎng)站上所有的鏈接訪(fǎng)問(wèn)，這也叫爬蟲(chóng)下載（spidering）。主機資源耗盡型與 HTTPFlooding不同，其目的是為了耗盡目標主機的資源（例如：CPU、存儲器、Socket等）。攻擊者用少量的HTTP請求促使服務(wù)器返回大文件（例如圖像、視頻文件等），或促使服務(wù)器運行一些復雜的腳本程序（例如復雜的數據處理、密碼計算與驗證等）。這種方式不需要很高的攻擊速率就可以迅速耗盡主機的資源，而且更具有隱蔽性。

     與傳統基于低層協(xié)議的DDoS攻擊相比，App-DDoS攻擊具有以下特點(diǎn)：

     首先，它利用了高層協(xié)議（HTTP）實(shí)現。許多基于Web的應用（例如HTTP或HTTPS）通過(guò)開(kāi)放的TCP端口（如TCP端口80與443）為客戶(hù)提供服務(wù)，因此低層的檢測系統很難判斷經(jīng)過(guò)這些開(kāi)放端口的用戶(hù)請求是來(lái)自于正常用戶(hù)還是來(lái)自于攻擊者。這導致針對Web應用的App-DDoS攻擊請求可以順利穿越基于低層協(xié)議的檢測系統，通過(guò)開(kāi)放的TCP80端口直接到達Web服務(wù)器或網(wǎng)絡(luò )數據庫。

     其次，由于A(yíng)pp-DDoS攻擊是以高層信息流（HTTP流）作為攻擊手段，其實(shí)現是以正常TCP連接和IP分組為前提，因此形成攻擊的HTTP流不具備傳統DDoS攻擊的標志性特征（例如：TCP半開(kāi)放連接和畸形IP數據報等），而且它無(wú)法采用虛假I(mǎi)P地址（虛假I(mǎi)P地址無(wú)法建立有效的TCP連接）的方法。越來(lái)越多的主機（包括個(gè)人主機和企業(yè)大型主機）全天候地連接互聯(lián)網(wǎng)，為這種攻擊提供了有利的條件和環(huán)境。

     此外，由于高層的服務(wù)和協(xié)議差異很大，App-DDoS攻擊可以有多種不同的形式，而且一個(gè)簡(jiǎn)單的HTTP請求往往可以觸發(fā)服務(wù)器執行一系列復雜的操作，例如：數據庫查詢(xún)、密碼驗證等，所以通過(guò)大量傀儡機向目標發(fā)送海量分組的攻擊方式并不是App-DDoS攻擊的惟一選擇，它可以用低速率的請求、少量的攻擊節點(diǎn)實(shí)現傳統DDoS的攻擊效果，這給現有的檢測帶來(lái)了很大困難。2004年的蠕蟲(chóng)病毒“Mydoom”及其后來(lái)的變體“Mytob”就是典型的 HTTPFlooding攻擊案例，而且也顯示出目前DDoS攻擊的發(fā)展趨勢。該病毒采用了常用的Web服務(wù)器請求技術(shù)，通過(guò)模仿瀏覽器IE的請求文本，使Web服務(wù)器難以區分正常的和異常的HTTP請求，從而提高了攻擊的破壞能力。由于所有的攻擊請求都是由合法分組構成，不具備傳統DDoS攻擊流的特征，因此攻擊請求順利穿越所有基于IP層和TCP層的檢測系統，最終導致SCO和微軟等知名網(wǎng)站的服務(wù)器崩潰。