يُرهق هجوم حجب الخدمة الموزع خادمًا أو شبكةً أو تطبيقًا بحركة مرور من مصادر عديدة بحيث لا يتمكن المستخدمون الشرعيون من الوصول إليه. وعادةً ما يعني الجزء «الموزع» أن حركة المرور تأتي من شبكة بوتات: مجموعة من الأجهزة المخترقة، مثل أجهزة التوجيه والكاميرات أو أجهزة الكمبيوتر الشخصية، التي يتم التحكم فيها عبر طبقة أوامر وتحكم.
تكتسب هجمات DDoS أهميتها لأنها في الأساس هجمات على الإتاحة. فبدلًا من سرقة البيانات، يهدف المهاجم إلى التسبب في بطء الخدمة أو فشل تسجيل الدخول أو انقطاعها بالكامل من خلال استنزاف النطاق الترددي أو جداول الاتصالات أو موارد التطبيق. في الهجمات الواقعية، قد ترسل البوتات تدفقات من الطلبات أو حركة مرور انعكاسية أو استعلامات متكررة على مستوى التطبيق تبدو للوهلة الأولى كاستخدام عادي. ويقلل المدافعون المخاطر عبر تصفية الحركة، وتقييد المعدل، والتوسّع التلقائي، والتخفيف في الطبقات العليا، وكذلك عبر تقوية نقاط النهاية لتصبح أصعب في التجنيد ضمن شبكات البوتات. وقد يؤدي تعطيل بنية الأوامر والتحكم إلى وقف التنسيق، لكن الأجهزة المصابة ما تزال بحاجة إلى التصحيح، أو إعادة تعيين بيانات الاعتماد، أو إزالتها من الخدمة.