DefCOM, đề xuất của Mirkovic [16]. Nó là một hệ thống phân tán kết hợp bảo vệ nguồn cấp, nạn nhân, và lõi mạng. Nó phát hiện một cuộc tấn công đến và đáp ứng bằng việc hạn chế tỷ lệ giao thông, trong khi vẫn cho phép lưu thông hợp pháp đi qua hệ thống. Nó bao gồm ba loại nút (router hoặc host): node phát cảnh báo phát hiện một cuộc tấn công, node hạn chế tỷ lệ thi hành giới hạn tốc độ trên tất cả lưu lượng đi đến mục tiêu của cuộc tấn công, và node phân loại giới hạn tỷ lệ giao thông, phân chia các gói tin hợp pháp với các gói tin đáng ngờ đồng thời đánh dấu mỗi gói với phân loại của nó. Node phát cảnh báo và các node phân loại được thiết kế cho mạng lưới cạnh việc triển khai, trong khi node hạn chế tỷ lệ được thiết kế cho phần lõi triển khai của hệ thống.
Trong trường hợp bị tấn công, điểm phát hiện có khả năng sẽ ở các node phát cảnh báo trong mạng nạn nhân, và node phân loại có khả năng gần với mạng lưới nguồn. DefCOM lần dấu vết các cuộc tấn công từ nạn nhân đến tất cả các nguồn lưu lượng truy cập hoạt động (lưu lượng tấn công hoặc hợp pháp) sử dụng một mạng lưới che phủ và thống kê trao đổi giữa các nút bảo vệ. Giới hạn tỷ lệ được triển khai bắt đầu từ nạn nhân, và lan truyền đến các lá trên cây giao thông (phân loại gần các nguồn). Gói tin được đánh dấu, phân loại, chuyển tải thông tin về tính hợp pháp của mỗi gói đi đến các node hạn chế tỷ lệ. Các node hạn chế tỷ lệ cấp phát băng thông giới hạn ưu tiên cho các gói tin được đánh dấu hợp pháp, sau đó đến những gói tin đánh dấu đáng ngờ, và cuối cùng để các gói tin không được đánh dấu. Điều này tạo ra ba cấp độ của dịch vụ, tạo ra dịch vụ tốt nhất với các gói tin hợp pháp.
Bất kỳ tường lửa có thể thực hiện chức năng của node phát cảnh báo. Router lõi sẽ phải được tăng cường với một khả năng quan sát đánh dấu để thực hiện chức năng
của node hạn chế tỷ lệ. D-WARD được mô tả như là một ứng cử viên có khả năng cho chức năng của node phân loại . Tuy nhiên, việc phân chia giao thông hợp pháp với giao thông tấn công không cần phải được tốt như D-WARD. Một node phân loại có thể đơn giản đánh dấu giao thông nó xét thấy quan trọng đối với khách hàng của mạng là nguồn hợp pháp. Miễn là tuân theo phân loại tỷ lệ hạn yêu cầu, giao thông này sẽ không làm tổn thương các nạn nhân.
Tóm lại, thiết kế của DefCOM là giúp phát hiện giao thông bất hợp pháp tại mục tiêu, giới hạn tỷ lệ ở lõi, và ngăn chặn lưu lượng truy cập đáng ngờ/ lưu lượng tấn công tại mạng lưới nguồn. Sử dụng D-WARD như hệ thống phân loại ban đầu của nó,
DefCOM cũng vươn ra xa hơn vào cốt lõi để xử lý các cuộc tấn công từ các mạng không được trang bị node phân loại giao thông không hợp pháp. DefCOM xử lý lũ lụt, trong khi gây ra ít sự cản trở, hoặc là vô hại cho giao thông hợp pháp. Do tính chất che phủ của hệ thống, DefCOM tự nó tạo nên một giải pháp mở rộng và không cần tiếp cận với triển khai thêm nhờ vào việc sử dụng kiến trúc peer-to-peer, nhưng nó yêu cầu triển khai rộng hơn phòng thủ của nạn nhân. Theo một nhược điểm, xử lý bị hư hỏng hoặc phá vỡ các nút trong mạng che phủ có thể khá khó khăn, và DefCOM có khả năng hoạt động tồi tệ nếu không được xử lý.