В общем, так же, как и любые другие сервера. Смысл такой атаки состоит в том, чтобы перегрузить сервер запросами, так чтобы он уже не мог обслуживать обычных пользователей (Denial Of Service). Атакующий должен иметь возможность использовать распределённую систему клиентов (например, т.н. сеть "зомби", - первое "D" в DDOS означает "distributed"), которые начинают одновременно дубасить сервер запросами. В принципе, чем выше уровень протокола, по которому общается сервер, и чем более "тяжёлые" сообщения он получает, тем легче его подвесить.
Кстати, поисковые системы начала 90-х тоже могли вывести сервера из строя слишком частыми запросами. Например, однажды знаменитый ныне медиаменеджер Антон Носик, который работал тогда вебмастером хостера Шарат, подивился, отчего его сервер стал так популярен - лог-файл на глазах за секунды вырастал на сотни запросов (тогда это было много). Разглядывая этот лог, мы поняли, что сервер паевого фонда Vanguard зачем-то скачивает весь Шарат. Затем присоединился второй сервер паевого фонда, и вскоре Шарат отрубился.
Поэтому уже поисковая машина Альтависта ввела джентльменское правило - поисковые машины должны были выдерживать хотя бы 30 секунд до следующего запроса к сайту. В общем, злоумышленникам не пришлось ничего особенно выдумывать - добропорядочные клиенты вешали сервера часто, и ситуации были достаточно наглядны, чтобы возникал соблазн ими воспользоваться.