Pi, đề xuất của Yaar [2], là một hệ thống bảo vệ mục tiêu nạn nhân, xây dựng trên kỹ thuật đánh dấu gói tin đã đề cập ở biện pháp traceback, chèn vào định danh đường dẫn vào mục chưa sử dụng trong phần header của gói tin IP. Ý tưởng chính là những định danh đường dẫn hoặc dấu vân tay xác thực được chèn vào bởi các router dọc theo đường mạng. Các mục tiêu hoặc nạn nhân sau đó sẽ từ chối các gói tin với định danh đường dẫn phù hợp với các gói tin đã được xác định rõ ràng như một phần của cuộc tấn công.
Trong đề án đánh dấu Pi cơ bản, từng router tham gia đánh dấu bit nhất định trong trường nhận dạng IP của gói tin IP. Các vị trí của kí hiệu trong trường này được xác định bởi giá trị của trường TTL (time to live) của gói tin. Kí hiệu là một phần của bảng băm của địa chỉ IP của router. Vì giá trị TTL được giảm đi tại mỗi router, một con đường tiếp giáp của gói tin được xây dựng khi nó đến gần hơn với nạn nhân. Người ta có thể quyết định ngừng đánh dấu trong một khoảng cách chặng nhất định của mạng nạn nhân để tăng khả năng tới đích của gói tin trong đề án này.
Bộ lọc Pi có thể xảy ra một khi chương trình đánh dấu đã được cài đặt trong cơ sở hạ tầng. Đề án này giả định rằng nạn nhân biết làm thế nào để xác định số lượng lớn của lưu lượng truy cập tấn công, ví dụ, bằng cách chọn một phần lớn của lưu lượng truy cập đến mang nhãn hiệu tương tự. Các bộ lọc sau đó ném bỏ tất cả lưu lượng với nhãn hiệu nhất định. Vô tình, một số lưu lượng truy cập hợp pháp chia sẻ nhãn hiệu với các cuộc tấn công (vì nó cũng chia sẻ đường dẫn đến các nạn nhân do sự dao động và tính chất thích nghi của mạng) cũng sẽ bị giảm xuống, mất mát.