Wydajność dzisiejszych serwerów i przepustowość łączy internetowych sprawiają, że zablokowanie serwera z pojedynczej stacji roboczej lub nawet z grupy maszyn dołączonych standardowym łączem dostępnym dla typowych organizacji jest praktycznie niemożliwe. Napastnicy do osiągnięcia swoich celów korzystają z botnetów (sieci utworzonych z nielegalnie przejętych komputerów), dzięki czemu mogą osiągnąć oczekiwaną skalę. Pasmo podobnych ataków może osiągać dziesiątki gigabitów na sekundę. Do przeprowadzenia ataku nie wystarczy wynajęcie jednej sieci - potrzeba ich kilka. Atak zazwyczaj powoduje straty w samych podziemnych sieciach, dlatego hakerzy niezbyt często decydują się przyjąć takie zlecenie.

Sieć na sprzedaż

Po zainstalowaniu złośliwego oprogramowania i przejęciu kontroli nad kolejnymi komputerami włamywacze łączą je w podziemną sieć, która później służy do różnych zadań - kradzieży pieniędzy z kont bankowych, pozyskiwania informacji, wysyłania spamu, ukrywania połączeń itd. Nielegalne działania odbywają się w ukryciu, gdyż każda głośna akcja powoduje wykrycie i usunięcie komputerów z botnetu. Włamywacze komputerowi muszą regularnie uzupełniać podziemne sieci, by zachować niezbędną ich liczebność.

Liczą się pieniądze

W podziemnym świecie liczy się tylko pieniądz, a zatem każde zastosowanie botnetów sporo kosztuje. Ataki odmowy obsługi są najtańsze, ale trudno znaleźć pojedynczego usługodawcę dla naprawdę dużych ataków, liczonych w dziesiątkach gigabitów na sekundę. Duże, dobrze rozwinięte botnety rzadko są wykorzystywane do masowych ataków odmowy obsługi, gdyż taki atak spowodowałby nie tylko zdemaskowanie maszyn tego botnetu, ale także stawiałby pod znakiem zapytania dalsze zarządzanie siecią. Powoduje to duże straty w maszynach botnetu, a to znaczy, że ryzyko utraty sieci przeważa nad ewentualnym zarobkiem. Inne działalności sieci, takie jak kradzież pieniędzy z kont bankowych lub wysyłanie spamu, przynoszą o wiele wyższe dochody, a zatem są cenniejsze dla "właściciela" botnetu.

Poniżej radaru

Za każdym razem, gdy silny atak DDoS trafia w duży cel, instytucje odpowiedzialne za bezpieczeństwo teleinformatyczne kraju podejmują działania mające na celu wykrycie i zdemaskowanie sprawców. Powódź pakietów jest łatwa do statystycznej analizy, większość z maszyn botnetu zostaje szybko zdemaskowana, czyli liczebność podziemnej sieci może szybko spadać. Likwidacja botnetu nie jest prosta, ale jest możliwa, a zatem ryzyko może być zbyt duże. Właśnie z tego powodu większość botmasterów ("właścicieli" podziemnej sieci) woli nie atakować dużych celów. Dla nich o wiele bardziej opłacalne są inne ataki, które przyniosą wyższe dochody.

Kilku sprawców

Przygotowania do ataków DDoS można czasami śledzić na podziemnych forach - zazwyczaj sprawcy internetowego zamieszania szukają co najmniej kilku wykonawców dysponujących botnetami, gotowych na świadczenie podziemnej usługi. Często w takich atakach biorą udział niewielkie sieci, utworzone przez początkujących botmasterów, którzy nie dysponują jeszcze zamówieniami przynoszącymi większe dochody albo nie chcą się wiązać z innymi cyberprzestępcami, aby wziąć udział w nielegalnych procederach, takich jak kradzież czy włamania komputerowe. Chęć wynajęcia do rozległych ataków kilku mniejszych sieci, zamiast jednej większej dało się zaobserwować przy ataku kierowanym przeciw portalowi Allegro. Według informacji opublikowanych przez Piotra Koniecznego na portalu Niebezpiecznik, atak odmowy obsługi kierowany przeciw portalowi Allegro był realizowany przez kilka grup - wykonawca określany pseudonimem .Infinity. działał we współpracy z grupą TERROR utworzoną przez sprawców o pseudonimach DOG2X, Rob. oraz Shadow, a całość przedsięwzięcia była finansowana przez nieznanego sprawcę w Polsce. Był to atak komercyjny.