D -WARD, đề xuất của Mirkovic và các đồng nghiệp [15] vào tháng 8-2003, được phát triển tại UCLA dưới tài trợ của chương trình DARPA Fault Tolerant Network (FTN). Hệ thống này dựa trên mạng nguồn nhằm mục đích phát hiện các cuộc tấn công trước hoặc khi chúng rời khỏi mạng lưới DDoS của các agent. Nó là một hệ thống nội tuyến, trong suốt với người sử dụng trên mạng, thông qua việc tập hợp số liệu thống kê giao thông hai chiều từ các router biên tại các mạng nguồn và so sánh chúng với các mô hình giao thông mạng xây dựng dựa trên giao thức ứng dụng và giao vận, phản ánh sự
bình thường (hợp pháp), nghi ngờ, hoặc hành vi tấn công Dựa trên mô hình ba tầng này (tấn công, nghi ngờ, bình thường), D-WARD áp dụng tỷ lệ giới hạn tại router ở tất cả các giao thông đi ra của một đích cho trước, ưu tiên giao thông kết nối hợp pháp, hơi làm chậm lại lưu lượng truy cập đáng ngờ, và làm chậm lại các kết nối tấn công mà nó cảm nhận. Tỷ lệ giới hạn năng động và thay đổi theo thời gian, dựa trên quan sát của tín hiệu tấn công và các chính sách hạn chế về giao thông tiêu cực. Ít giao thông tiêu cực sẽ làm giảm nhẹ các chính sách hạn chế.
Giống như hầu hết các hệ thống nghiên cứu, D-WARD đã được thử nghiệm với một homegrown thiết lập các tiêu chí chuẩn DDoS, và giống như hầu hết các hệ thống nghiên cứu, nó hoạt động tốt theo các tiêu chí chuẩn. Tuy nhiên, hệ thống D-WARD cũng trải qua nhiều thử nghiệm độc lập vào cuối chu kỳ chương trình DARPA FTN. Những thí nghiệm chỉ ra rằng D-WARD có khả năng để nhanh chóng phát hiện những vụ tấn công tạo ra dị thường ở giao thông hai chiều, chẳng hạn như tấn công gửi tràn nặng nề. D-WARD kiểm soát hiệu quả tất cả các giao thông, trong đó có giao thông tấn công, và có thiệt hại và một mức độ sai lầm chủ động thấp. Nó kịp thời khôi phục hoạt động bình thường khi kết thúc cuộc tấn công. Bằng cách giới hạn tỷ lệ lưu lượng tấn công hơn là ngăn chặn nó, hệ thống này một cách nhanh chóng phục hồi từ các sai lầm chủ động . Theo thiết kế, nó ngừng các cuộc tấn công tại nguồn mạng, do đó, nó yêu cầu việc triển khai trên rộng (bao gồm một phần lớn các nguồn thực tế) để đạt được hiệu quả mong muốn. Trừ khi có một hình phạt cho các các hosting của DDoS agent đặt ra đối với các mạng nguồn, đây không phải là một hệ thống mà nhà khai thác mạng sẽ hăm hở triển khai, bởi D-WARD không cung cấp một lợi ích đáng kể cho các nhà triển khai này. Tuy nhiên, nó có thể được thể tích hợp nó với cơ chế bảo vệ khác (như Cossack tại mục 2.7) mà có yêu cầu hành động từ mạng nguồn, để cung cấp các response chọn lọc cho request.
Tóm lại, lợi thế của D-WARD nằm trong việc phát hiện và kiểm soát các cuộc tấn công, giả định rằng giao thông tấn công thay đổi đầy đủ so với các mô hình giao thông bình thường. Theo thực tế rằng D-WARD chọn lọc giới hạn tỷ lệ lưu lượng truy cập, nó có thiệt hại thấp, và đáp ứng tấn công tương đối nhanh. Mặt khác, những kẻ tấn công vẫn có thể thực hiện các cuộc tấn công thành công từ các mạng không được trang bị với hệ thống này.