Rất nhiều mô hình tấn công DDoS dựa vào việc che giả mạo địa chỉ để che dấu nguồn gốc. Nếu không có sự che giấu địa chỉ, tấn công dạng reflector sẽ không thể xảy ra. Dựa trên tính chính xác của địa chỉ nguồn, có các sự phân loại như sau: địa chỉ giả mạo và địa chỉ đúng
SAV-1: Địa chỉ giả mạo (Spoofed Source Address)
Trong giả mạo địa chỉ, có rất nhiều cách giả mạo khác nhau: Giả mạo các địa chỉ có thể định tuyến được, giả mạo các địa chỉ không thể định tuyến được. Ngoài ra, xét đến các kỹ thuật giả mạo địa chỉ, ta còn có giả mạo ngẫu nghiên, giả mạo theo lớp mạng cục bộ, giả mạo theo
SAV-1:AR-1 Địa chỉ có thể định tuyến
Địa chỉ nguồn của cuộc tấn công sẽ được giả mạo thành một địa chỉ có thể định tuyến được trên mạng Internet. Trường hợp này thường được sử dụng để thực hiện tấn công reflector.
SAV-1:AR-2: Địa chỉ không thể định tuyến được
Kẻ tấn công sử dụng dạng địa chỉ được quy định là địa chỉ riêng, chỉ sử dụng trong các mạng nội bộ mà không sử dụng trên mạng Internet. Các địa chỉ này không được bất kỳ một router nào định tuyến. Nếu gói tin tới hệ thống từ phía bên ngoài thì rất nhiều khả năng đó là một gói tin đã bị sửa đổi trường địa chỉ nguồn. Các gói tin này có thể dễ dạng bị loại bỏ bởi một bộ lọc.
SAV-1:ST: Kỹ thuật giả mạo địa chỉ (Spoofing Technique)
Địa chỉ có thể bị giả mạo theo ngẫu nhiên, giả mạo theo lơp mạng cục bộ của máy gửi tin, giả mạo theo các địa chỉ nằm trên đường đi của gói tin.
Kẻ tấn công sử dụng một địa chỉ được tạo ngẫu nhiên làm địa chỉ nguồn. Để chống lại cách giả mạo này, có thể sử dụng các phương pháp lọc gói hướng vào để ngăn chặn.
SAV-1:ST-2: Giả mạo theo lớp mạng (Subnet Spoofed Source Address)
Trong kỹ thuật này, kẻ tấn công sử dụng một địa chỉ ngẫu nhiên nằm trong lớp mạng của máy công cụ. Việc phát hiện ra sự giả mạo này là tương đối khó khăn, đặc biệt là trong quá trình gói tin vẫn di chuyển tới router kết nối ra ngoài của mạng nội bộ. Đối với dạng giả mạo này, lọc gói hướng vào không có tác dụng.
SAV-1:ST-3: Giả mạo theo các địa chỉ nằm trên đường đi (en Route Spoofed Source Address)
Dựa theo các địa chỉ có thể có trên đường đi tới đích của gói tin để giả mạo địa chỉ nguồn. Đây mới chỉ là dạng được đề cập trên lý thuyết, thực tế chưa có cuộc tấn công nào được ghi nhận có dạng này.
SAV-2: Địa chỉ xác thực
Phần lớn kẻ tấn công đều thực hiện giả mạo địa chỉ khi có thể. Trong trường hợp gói tin xuất phát từ những máy công cụ sử dụng windows phiên bản trước Windows XP đều không thể thay đổi địa chỉ nguồn nên gói tin này là gói tin có địa chỉ thật.