这些 DDOS 攻击是使用僵尸网络执行的。僵尸网络是感染恶意软件的消费者 PC 网络。此类僵尸网络通常用于许多活动，其中大多数是非法的或至少在道德上存在问题。出于这个原因，控制僵尸网络的人尽最大努力不被发现。他们通常使用晦涩难懂的匿名通信方法来控制他们的僵尸网络，这些方法很难追踪到他们。

您可能想知道“考虑到最近有关美国政府的互联网间谍能力的出版物，他们怎么找不到？”。也许美国政府知道是谁干的，当他们不知道的时候，他们很容易找出来。但事实是，尽管美国政府收集了世界上每个人的大量数据，但目前的法律状况不允许他们根据这些数据起诉任何人。所有这些数据收集都是非法窃听，因此可能不会在法庭上用作证据。

美国政府对他们只能通过监视计划获得证据的人唯一能做的就是非法的法外行为，例如绑架他们并将他们驱逐到秘密监狱或通过无人机袭击杀死他们。目前，此类激烈行动仅针对被认为对国家安全构成威胁（或居住在阿富汗/巴基斯坦边境附近）的人。

与一些“黑客主义者”认为的相反，使政府机构的公共网站在几个小时内无法访问，并不是对国家安全的攻击。这样的攻击与在他们的墙上画诽谤性涂鸦的危险程度大致相同。

DDOS 附加通常通过向服务发送带有欺骗源 IP 的 UDP 消息来执行，该服务将向传入消息中给出的源 IP 发送回复。

例如：如果 IP 1.1.1.1 正在运行 DNS 服务器，则将 DNS 查询作为源 IP 设置为 2.2.2.2 的 UDP 数据包发送到 1.1.1.1，将导致 DNS 服务器向2.2.2.2。DNS 查询的实际来源没有记录在任何地方。

此外，这些欺骗性查询通常是通过多个服务器从多个客户端发送的，因此从网络的角度来看，这看起来就像是常规流量（除了接收所有 DNS 的 2.2.2.2 的糟糕主机-回复）。

为了能够检测到这一点，需要实时监控大部分网络，并同时关联来自多个客户端的请求。

原因之一是攻击者使用的僵尸程序是受害者的 PC，因此没有单一的攻击来源。这些机器人通常使用命令和控制服务器、简单的 IRC 房间、私人 Twitter 提要等来控制。

一种情况可能是：攻击者编写了一个具有设定时间表的机器人。IE 通过不同的方式尽可能地传播，同时将自身从 10 或 100 级传播中移除。（清洗回溯到机器人的起源）。现在，在硬编码的日期/时间，这些机器人可以从受害者机器上启动大规模 DDOS。