Читал, что ддос в торе делают для деанонимизации владельцев сервисов. Суть примерно такая:
Злоумышленник (условно - ФБР) поднимает 1000 входных (guard) нод. Далее на тор-сервис начинается ддос атака. Самый лёгкий способ её прекратить - сделать полностью новый tor cirquit (цепочка соединений), что подразумевает смену guard-ноды.
В какой-то момент владелец сервиса таки подключается к входной ноде ФБР. Допустим, ФБР льёт ддос на 2 ГБит, и видит в логах похожий трафик на одной из своих входных нод. Ну а дальше получить реальный IP клиента в основном не составит проблем.