ДОС же есть много видов, и проводятся они на разных уровнях сетевой модели. В случае онион сайта, нам недоступны низкоуровневые сетевые атаки, но можно провести тот же http-flood например, или загрузить работой базу данных. Не важно то что мы не знаем ip-адрес на который полетят ядовитые http-запросы, главное они туда прилетят и сделают своё дело. Онион зона и тор скрывают только айпишник сервера, но если апач, или скрипты сайта сами по себе имеют уязвимости, то этот сайт может быть взломан через веб, как и обычный.