Nhiệm vụ thứ hai của policer là để giới hạn lưu lượng upload lên băng thông gửi đến hàng đợi cao trong quá trình tải trang Web về.
Băng thông upload được trông đợi ở một giai đoạn ON hợp pháp bao gồm các thông điệp yêu cầu HTTP và các gói TCP ACK cần thiết trong khi tải các trang web và các thành phần của nó. Cả hai đều được gắn liền với số lượng các đối tượng in-line Web. Từ bảng 2.1 chúng ta thấy rằng băng thông dự kiến sẽ được mô phỏng theo một phân phối heavy tailed (LogNormal). Thách thức chính ở đây là để tìm một ngưỡng băng thông đủ lớn không làm hại người sử dụng hợp pháp, và ngược lại, không quá lớn để cho phép kẻ tấn công gửi quá nhiều lưu lượng truy cập vào hàng đợi cao. Sự lựa chọn của các tác giả là sử dụng một băng thông động có giới hạn. Ý tưởng chính ở đây là tạm thời cho phép client nhập thêm lưu lượng truy cập hơn dự kiến, nhưng không liên tục theo thời gian. Các ngưỡng băng thông động phụ thuộc vào hàm hành vi của client trong các session Web trước đó. Nếu một client gửi lớn hơn lưu lượng dự kiến khi truy cập đến Web farm so với các Web session trước, ngưỡng băng thông của client cho Web session hiện tại bị giảm. Mặt khác, nếu client gửi vào băng thông ít hơn so với dự kiến, ngưỡng băng thông của client cho session hiện tại sẽ được tăng lên. Ngưỡng của session hiện tại được tính như sau:
STH[i + 1] = BF[i] . STH[i], (2.2)
Trong đó:
STH[i]-Ngưỡng băng thông của session (đơn vị bytes) cho session Web thứ i. STH[i] được cận trên bởi Session_Max_TH và cận dưới bởi Session_Min_TH.
BF[i] - Hàm hành vi của client trong session Web thứ i
Hàm hành vi đại diện cho lịch sử hành vi của client. Giá trị BF[i] lớn hơn một có nghĩa là một hành vi hợp pháp, trong khi giá trị nhỏ hơn có nghĩa là hành vi đáng ngờ. Cách tính BF[i] được mô tả trong phần tiếp theo.
Giới hạn băng thông thực tế được thực hiện như sau. Trong mỗi session Web, policer đếm lưu lượng truy cập mỗi client gửi đến Web farm. Tất cả lưu lượng truy cập đạt tới STH[i]- byte được gửi đến hàng đợi cao. Lưu lượng vượt quá STH[i] sẽ bị gửi vào hàng đợi thấp. Giá trị ban đầu của STH[0] được thiết lập để bằng Session_Max_TH, giá trị đáp ứng nhu cầu băng thông upload của một trang web lớn.
Lưu ý rằng nó có thể cho client hợp pháp để thỉnh thoảng vượt quá ngưỡng session của họ. Khi còn chưa có tấn công DDoS, loại false positive này không phải là một vấn đề lớn vì lưu lượng từ hàng đợi thấp vẫn được phục vụ, do đó client sẽ có thể hoàn thành giai đoạn ON của mình với một số suy giảm hiệu suất nhất định.