Ataki Denial of Service stały się plagą szczególnie w ubiegłym roku, kiedy za ich sprawą zablokowano popularne serwisy w rodzaju Amazon czy Hotmail.
Opublikowane wyniki jednej z pierwszych analiz tego problemu pokazują jego skalę oraz najczęściej atakowane usługi.
Atak DOS polega na zasypaniu serwera-ofiary taką ilością fałszywych żądań, by zablokować jej działanie lub przynajmniej znacznie je spowolnić. W ciągu ostatnich dwóch lat wyewoluowały one w nową formę - atak DDOS (Distributed DOS), czyli skierowany na jeden cel z kilkudziesięciu do kilku tysięcy źródeł naraz. Fałszywe żądania mogą przychodzić na różnych warstwach sieci - IP, TCP lub poszczególnych protokołów warstwy aplikacyjnej. Jednym z pierwszych ataków tego typu był SYN Flood, łatwy w wykonaniu i skutecznie uniemożliwiający działanie dowolnych serwerów usług chodzących po TCP. Technika ta została opublikowana już w 1996 roku.
Podczas większości ataków DOS, w tym szczególnie tych dokonywanych za pomocą rozproszonych agentów DDOS fałszywe pakiety przychodzą z losowymi źródłowymi adresami IP. Amerykańscy badacze wykorzystali ten fakt do zbadania skali zjawiska, wychodząc z założenia, że odpowiedzi atakowanych serwerów będą odsyłane na te adresy, z których rzekomo przychodziły połączenia. Oznacza to, że przypadkowe hosty na świecie (te, których adresy wylosował atakujący) będą otrzymywać pochodzące ,,znikąd'' pakiety, oznaczające na przykład potwierdzenie lub odrzucenie próby połączenia przez atakowany serwer. W tym momencie z pomocą przychodzi statystyka - dysponując odpowiednio dużą pulą adresów do których ruch można analizować badacze są w stanie wychwycić określony procent tych odbitych pakietów.
Na podstawie analizy statystycznej i po uwzględnieniu możliwych błędów, badacze doszli do mało optymistycznych wyników. W ciągu trzech tygodni wykryto ponad 12 tys. ataków skierowanych przeciwko 5 tys. serwerów, co daje średnio prawie 240 takich ataków dziennie. Biorąc pod uwagę, że natężenie 40% zaobserwowanych ataków przekraczało 500 pakietów na sekundę (a najszybszy niemal 679 tys. pakietów/sek) można dojść do wniosku, że duża część przepustowości światowych łącz jest marnowana jako rezultat przepychanek na IRC lub zwykłej głupoty.
Ochrona przed atakami DOS jest bardzo trudna - jednokierunkowy strumień danych o dużym natężeniu jest nie do zatrzymania u celu, czyli z reguły na łączu o mniejszej przepustowości. Filtrowanie na routerze brzegowym jest skuteczne tylko częściowo, bo pakiety DOS już faktycznie weszły - i nasyciły - łącze ofiary. Metodą skuteczną, ale niedocenianą, jest blokowanie ataków DOS u źródła. Efekt ten daje poprawnie skonfigurowany filtr pakietowy na ruchu wychodzącym, wypuszczający do sieci szkieletowych tylko pakiety z poprawnymi, czyli pochodzącymi z sieci wewnętrznej, adresami źródłowymi. Tak zabezpieczona sieć nie będzie nigdy źródłem ataku DOS wykorzystującego fałszywe adresy źródłowe (zalewanie pakietami z prawdziwego adresu jest łatwe do wykrycia i wyblokowania). Warto dodać, że taka konfiguracja routerów brzegowych jest zalecana przez IETF(Internet Engineering Task Force) jako Best Current Practice.