- Phát hiện ở gần nguồn tấn công
Giả sử tổng số lưu lượng để tắt một mạng là V, và lưu lượng một cuộc tấn công DDos là U. Chúng ta có thể dễ dàng phát hiện tấn công tại nạn nhân khi V lớn hơn đáng kể lưu lượng bình thường. Tuy nhiên, số lượng tấn công gần nguồn sẽ không phân biệt được từ một lưu lượng bình thường, tỷ số V/U sẽ rất nhỏ nếu U đủ lớn. Thông thường như các phương án đã đặt ra đó là đánh dấu gói tin và truy tìm ngược lại. Các phương án này thường không có hiệu quả cao khi mà cuộc tấn công diễn ra với quy mô rất lớn. Do vậy việc phát hiện tấn công gần nguồn sẽ tránh được tắc nghẽn và đạt hiệu quả cao nhất.
- Phát hiện tấn công tại mạng của nạn nhân
Như đã nói ở phần trước, việc phát hiện tấn công tại máy nạn nhân không khó vì lúc đó lưu lượng mạng nạn nhân sẽ trở nên rất cao và tất nhiên sẽ dẫn đến tình trạng không thể cung cấp được các dịch vụ. Tuy nhiên, thông thường việc phát hiện và phản ứng lại tại nạn nhân thường muộn và vào lúc cuộc tấn công đang ở mức cao. Nạn nhân lựa chọn tắt server và sau đó liên hệ với các ISP. Các ISP sau khi đã nhận được lời đề nghị của nạn nhân sẽ tiến hành đẩy ngược lại lưu lượng tấn công tại các router. Công việc này thường tốn rất nhiều thời gian. Ví dụ khi nạn nhân phát hiện ra cuộc tấn công, một thông điệp sẽ được gửi đến các upstream router của nạn nhân. Thông điệp bao gồm đích của lưu lượng tấn công, và 1 yêu cầu để lọc lưu lượng tấn công này. Tuy nhiên, việc gửi thông điệp này trong thời gian ngắn nhất có thể là vô cùng quan trọng để ngăn chặn tấn công DDos. Bởi vậy, cần có một cơ chế phát hiện thật nhanh để gửi thông điệp trong giai đoạn tấn công.