Trong một cuộc tấn công DoS, các máy công cụ tham gia vào cuộc tấn công thường gửi các gói tin với những mức độ khác nhau, tùy theo sự tính toán của kẻ tấn công. Dựa vào nhịp độ tấn công, có các sự phân loại: tấn công với cường độ không dổi và tấn công với cường độ thay đổi.
ARD-1: Cường độ không đổi (Constant Rate)
Phần lớn các cuộc tấn công đã được ghi nhận có cường độ tấn công là không đổi và thường là sử dụng toàn bộ tài nguyên có thể của máy công cụ để thực hiện tấn công. Sau khi kẻ tấn công phát lệnh thực hiện, mỗi máy công cụ sẽ sử dụng toàn bộ tài nguyên về bộ nhớ, tài nguyên về băng thông để tạo ra càng nhiều truy vấn, gói tin càng tốt. Nạn nhân sẽ đón nhận gần như đồng thời các dòng “thác lũ” thông tin đổ
tới máy chủ và tùy theo cấu hình sẽ bị đánh sập hoàn toàn hoặc hoạt động chập nhờn. Trong chừng mực nhất định, với cường độ tấn công lớn và không đổi như vậy, việc phát hiện ra tấn công DOS sẽ dễ dàng thực hiện hơn khi sử dụng các mô hình xác suất để theo dõi baseline của hệ thống mạng.
ARD-2: Cường độ thay đổi
Kẻ tấn công sử dụng mô hình này để tránh bị phát hiện bởi các mô hình xác suất. ARD-2:RCM-1 : Cường độ tăng dần
Dịch vụ bị tấn công một cách thầm lặng, kéo dài qua thời gian và dần bị mất ổn định khi ma cường độ tấn công lên cao. Với những mô hình phát hiện tấn công dựa theo việc tính toán trạng thái và ngưỡng thay đổi thì sẽ không thể phát hiện dạng tấn công như thế này.
ARD-2:RCM-2: Cường độ thay đổi tùy ý
Đồ thị tấn công có dạng xung nhịp. Các đợt tấn công có thể diễn ra với một cường độ cao rồi lại im lặng một thời gian mới tiếp tục tấn công. Có thể phức tạp hơn khi các máy công cụ được chia ra thành các nhóm. Mỗi nhóm sẽ có một tần suất tấn công khác nhau và như vậy càng gây nên phức tạp trong việc phát hiện và đối phó lại.