Esistono diverse strategie utilizzate per lanciare attacchi DDoS di successo. L'obiettivo di un attacco DDoS è mirare e esaurire una risorsa al fine di interrompere un servizio, quindi è essenzialmente una battaglia di risorse; risorse da attaccare e risorse da difendere. Una risorsa qui è un termine molto ampio e diversi attacchi DDoS indirizzeranno risorse diverse a effetti diversi. Le risorse possono variare dall'hardware, al sistema operativo o ai limiti imposti dal fornitore. Alcuni esempi sono i limiti di memoria (RAM), CPU, Open File (connessioni TCP attive), larghezza di banda della rete e così via.
Una società ha un numero finito di risorse per difendersi dagli attacchi DDoS e può quindi difendersi solo da una quantità limitata di traffico DDoS. Questo si presenta sotto forma di budget che hanno stanziato per proteggere i loro sistemi (appliance di attenuazione DDoS, sistemi IDS con un numero fisso di CPU e RAM o livelli di sottoscrizione per il lavaggio del cloud). Lo squilibrio arriva laddove le risorse offensive sono di solito esponenzialmente meno costose delle risorse utilizzate per difendersi, in genere perché sono illegalmente ottenute (diffusione di malware e sistemi infettanti).
A causa di questo squilibrio tra i costi di attacco e difesa, diventa molto più facile generare traffico di attacco oltre a quello che possono gestire i limiti delle risorse a sua difesa, anche se possono farlo in modo abbastanza efficiente. Questo è il motivo per cui gli aggressori generalmente hanno ancora successo. Generano abbastanza traffico di attacco in modo che colgano un collo di bottiglia di una o più risorse in difesa. Nella maggior parte dei casi, per il traffico volumetrico, limiterà i limiti di larghezza di banda. Se hai una larghezza di banda di rete, la CPU sarà probabilmente il collo di bottiglia dall'elaborazione di milioni di pacchetti.
Un altro utilizzatore di strategia è quello di utilizzare in modo specifico le richieste ad alta intensità di risorse che assomigliano al normale traffico. Il caso più comune di questo è l'utilizzo di richieste HTTP. Se stai utilizzando un server Web, ti aspetti il traffico HTTP, quindi dovrai eseguire un'analisi più approfondita del traffico (noto come Deep Packet Inspection o DPI) per determinare se sia legittimo o meno. Questo è più costoso sul lato difensivo e quindi richiede meno risorse per l'attaccante. Ciò rende ancora più difficile il rilevamento perché non sono "rumorosi" e non hanno necessariamente un aspetto insolito per il ricevitore.