WDAQ là một cơ chế hàng đợi hoạt động được thiết kế để phân biệt giữa lưu lượng Web hợp pháp của client và lưu lượng tấn công từ các zombie. Sơ đồ khối WDAQ được mô tả trong hình 2.2. Các policer là phần chính của WDAQ. Các gói tin chuyển tiếp đến một hàng đợi ra của router ISP sẽ đi vào policer. Nhiệm vụ của policer là để quyết định xem các gói tin đến được là “hợp pháp” hoặc “đáng ngờ”. Để làm như vậy, policer duy trì một trạng thái mỗi client, ở đây là trên mỗi địa chỉ IP nguồn. Các policer gửi các gói tin “hợp pháp” vào hàng đợi có độ ưu tiên cao, và các gói tin “đáng ngờ” đến hàng đợi có độ ưu tiên thấp. Cả hai hàng đợi đều là chung cho tất cả client. Hàng đợi được quản lý sử dụng chính sách dựa trên trọng số: Weighed Fair Queueing (WFQ) [30], với trọng số được ưu tiên mạnh mẽ cho lưu lượng giao thông hợp pháp. Lưu ý rằng lưu lượng giao thông đáng ngờ không bị loại bỏ tự động, mà chỉ bị đưa vào hàng đợi có trọng số thấp - độ ưu tiên thấp. Khi lưu lượng mạng thấp thì WFQ có thể phục vụ cả hai hàng đợi mà không có mất mát dữ liệu. Tuy nhiên, khi lưu lượng truy cập vượt quá năng lực của liên kết mạng, WFQ khiến cho các gói tin trong hàng đợi thấp bị loại bỏ.
Hình 2.2 Sơ đồ khối WDAQ 3
Vì vậy, mục tiêu WDAQ là chỉ gửi lưu lượng truy cập hợp pháp vào hàng đợi độ ưu tiên cao, và gửi lưu lượng tấn công vào hàng đợi độ ưu tiên thấp. Mặt khác, mục tiêu của kẻ tấn công là để làm quá tải hàng đợi độ ưu tiên cao. Theo WDAQ, điều này có nghĩa là một kẻ tấn công tinh vi sẽ cố gắng giả mạo lưu lượng giao thông của mình để WDAQ coi nó như là lưu lượng hợp pháp. Tuy nhiên, do đặc tính chu kì ON-OFF lưu lượng upload web hợp pháp, buộc kẻ tấn công gửi cho lưu lượng truy cập tương tự lưu lượng hợp pháp, khiến cho mỗi zombie chỉ có thể gửi số lượng nhỏ thông tin, không thể gửi tràn gói tin; làm cho zombie trở nên ít hung hăng, và làm suy giảm các lưu lượng giao thông tổng thể mà những kẻ tấn công có thể gửi.
Lưu ý rằng lưu lượng truy cập gửi đến hàng đợi độ ưu tiên thấp không can thiệp được vào hàng đợi có độ ưu tiên cao, do cơ chế sử dụng trọng số cho hàng đợi của WFQ. Vì vậy, sẽ là vô nghĩa đối với một kẻ tấn công khi thử tấn công gửi tràn với hàng đợi độ ưu tiên thấp.