Služby Twitter, Spotify, Netflix, PayPal nebo SoundCloud , které byly útokem napadeny, byly v pátek buď zcela odstaveny, nebo reagovaly velmi vlažně a pomalu. Důvodem byl DDoS útok vedený na DNS servery, které jsou službami využívány. Podle prvotních analýz nebyl útok veden standardně z počítačového botnetu, ale z botnetu vytvořeného z napadených prvků Internetu věcí (IoT).
Patrně až několik stovek tisíc zařízení zahltilo DNS servery společnosti Dyn tak velkým množstvím požadavků, že se s tím infrastruktura společnosti jen stěží vyrovnávala a nakonec odpadla zcela. Výpadky DNS serverů se z východního pobřeží USA, kde útok začal, řetězově rozšířily až do Evropy.
Zařízení Internetu věcí mohly být podle expertů napadeny škodlivým kódem Mirai, který byl nedávno objeven. Patrně jde o historicky první takto masivní útok, který neprovedly standardní počítače, ale zařízení Internetu věcí. Podle odhadu může být kódem Mirai infikováno až půl milionu zařízení a že páteční útok nebyl zdaleka veden plnou silou. Je tedy možné, že by Mirai mohl uškodit daleko více.
Botnet Mirai využívá především zařízení čínské společnosti XiongMai Technologies, která vyrábí levná tzv. OEM zařízení, které pak prodávají další "značkové" firmy pod svou hlavičkou. Podle některých expertů mohl být útok jen kouřovou clonou, která měla zakrýt jiné kyberlumpárny, například nějakou větší krádež dat či šíření nového malware. Zajímavě tak v tomto kontextu zní informace společnosti Kaspersky - běhen DDoS útoku nebyly dostupné servery švédské vlády a mnoha oblíbených švédských webů.