DDoS 频宽消耗攻击可以分为两个不同的层次；洪泛攻击或放大攻击。 洪泛攻击的特点是利用僵尸程序发送大量流量至受损的受害者系统，目的在于堵塞其频宽。
放大攻击也与之类似，通过恶意放大流量限制受害者系统的频宽；其特点是利用僵尸程序发送信息，但是信息却是发送至广播 IP 位址，导致系统子网被广播 IP 位址连接上之后再发送信息至受害系统。
User Datagram Protocol (UDP) floods UDP是一种无连接协议，当数据包通过 UDP 发送时，所有的数据包在发送和接收时不需要进行握手验证。当大量 UDP 数据包发送给受害系统时，可能会导致频宽饱和从而使得合法服务无法请求访问受害系统。遭受 DDoS UDP 洪泛攻击时，UDP 数据包的目的埠可能是随机或指定的埠，受害系统将尝试处理接收到的数据包以确定本地运行的服务。如果没有应用程序在目标埠运行，受害系统将对源IP发出 ICMP 数据包，表明「目标埠不可达」。 某些情况下，攻击者会伪造源IP位址以隐藏自己，这样从受害系统返回的数据包不会直接回到僵尸主机，而是被发送到被伪造地址的主机。有时 UDP 洪泛攻击也可能影响受害系统周围的网路连接，这可能导致受害系统附近的正常系统遇到问题。然而，这取决于网路体系结构和线速。
ICMP floods ICMP floods是通过向未良好设置的路由器发送广播信息占用系统资源的做法。 ping of death ping of death是产生超过IP协定能容忍的封包数，若系统没有检查机制，就会当机。 TearDrop 每个资料要传送前，该封包都会经过切割，每个小切割都会记录位移的资讯，以便重组，但此攻击模式就是捏造位移资讯，造成重组时发生问题，造成错误。


协议分析攻击 (SYN flood) 传送控制协议 (TCP) 同步 (SYN) 攻击。TCP 进程通常包括发送者和接受者之间在数据包发送之前建立的完全信号交换。启动系统发送一个 SYN 请求，接收系统返回一个带有自己 SYN 请求的 ACK （ 确认 ）作为交换。发送系统接着传回自己的 ACK 来授权两个系统间的通讯。若接收系统发送了 SYN 数据包，但没接收到 ACK，接受者经过一段时间后会再次发送新的 SYN 数据包。接受系统中的处理器和内存资源将存储该 TCP SYN 的请求直至超时。
DDoS TCP SYN 攻击也被称为「资源耗尽攻击」 ,它利用 TCP 功能将僵尸程序伪装的 TCP SYN 请求发送给受害伺服器，从而饱和服务处理器资源并阻止其有效地处理合法请求。它专门利用发送系统和接收系统间的三向信号交换来发送大量欺骗性的原 IP 位址 TCP SYN 数据包给受害系统。最终，大量 TCP SYN 攻击请求反覆发送，导致受害系统内存和处理器资源耗尽，致使其无法处理任何合法用户的请求。
LAND attack 这种攻击方式与SYN floods类似，不过在LAND attack攻击包中的原地址和目标地址都是攻击对象的IP。这种攻击会导致被攻击的机器无穷回圈，最终耗尽资源而死机。 CC 攻击 CC 攻击是 DDoS 攻击的一种类型，使用代理伺服器向受害伺服器发送大量貌似合法的请求 （ 通常使用 HTTP GET )。CC (攻击黑洞)根据其工具命名，攻击者创造性地使用代理机制，利用众多广泛可用的免费代理伺服器发动 DDoS 攻击。
许多免费代理伺服器支持匿名模式，这使追踪变得非常困难。 僵尸网路攻击 僵尸网路是指大量被命令控制型 (C&C) 伺服器所控制的网际网路主机群。攻击者传播恶意软体并组成自己的僵尸网路。僵尸网路难于检测的原因是，僵尸主机只有在执行特定指令时才会与伺服器进行通讯，使得它们隐蔽且不易察觉。
僵尸网路根据网路通讯协议的不同分为 IRC、HTTP 或 P2P类等。 Application level floods 与前面叙说的攻击方式不同，Application level floods主要是针对应用软体层的，也就是高于OSI的。它同样是以大量消耗系统资源为目的，通过向IIS这样的网路服务程序提出无节制的资源申请来迫害正常的网路服务。