Un attacco denial-of-service distribuito sovraccarica un server, una rete o un'applicazione con traffico proveniente da molte origini, così che gli utenti legittimi non possano accedervi. La parte “distribuito” di solito significa che il traffico proviene da una botnet: un gruppo di dispositivi compromessi, come router, telecamere o PC, controllati tramite un livello di comando e controllo.
Il DDoS è importante perché è principalmente un attacco alla disponibilità. Invece di rubare dati, l'attaccante mira a causare rallentamenti, accessi non riusciti o interruzioni complete esaurendo la larghezza di banda, le tabelle delle connessioni o le risorse dell'applicazione. Negli attacchi reali, i bot possono inviare raffiche di richieste, traffico di reflection o query ripetute a livello applicativo che a prima vista sembrano un uso normale. I difensori riducono il rischio con filtraggio del traffico, limitazione della velocità, autoscaling, mitigazione a monte e rafforzando gli endpoint in modo che siano più difficili da reclutare nelle botnet. Interrompere l'infrastruttura di comando e controllo può bloccare il coordinamento, ma i dispositivi infetti devono comunque essere patchati, le credenziali reimpostate o rimossi dal servizio.