| Тип | След 1 | След 2 | След 3 | |||||||||
| Атаки | % | Пакеты (k) | % | Атаки | % | Пакеты (k) | % | Атаки | % | Пакеты (k) | % | |
| TCP (RST ACK) | 2,027 | 49 | 12,656 | 25 | 1,837 | 47 | 15,265 | 20 | 2,118 | 45 | 11,244 | 18 |
| ICMP (хост недоступен) | 699 | 17 | 2,892 | 5.7 | 560 | 14 | 27,776 | 36 | 776 | 16 | 19,719 | 32 |
| ICMP (превышение TTL) | 453 | 11 | 31,468 | 62 | 495 | 13 | 32,001 | 41 | 626 | 13 | 22,150 | 36 |
| ICMP (другие) | 486 | 12 | 580 | 1.1 | 441 | 11 | 640 | .82 | 520 | 11 | 472 | .76 |
| TCP (SYN ACK) | 378 | 9.1 | 919 | 1.8 | 276 | 7.1 | 1,580 | 2.0 | 346 | 7.3 | 937 | 1.5 |
| TCP (RST) | 128 | 3.1 | 2,309 | 4.5 | 269 | 6.9 | 974 | 1.2 | 367 | 7.7 | 7,712 | 12 |
| TCP (другие) | 2 | .05 | 3 | .01 | 0 | .00 | 0 | .00 | 1 | .02 | 0 | .00 |
Источник: «Выводы об отказах в обслуживании в Internet», Дэвид Мур, Джеффри Велкер и Стефан Саваж.
Вредоносные пакеты. Исследователи Калифорнийского университета в Сан-Диего установили наиболее распространенные ответные пакеты, которые хосты посылают во время атаки по типу «отказ в обслуживании» DoS. Пакеты TCP с установленными флагами RST или ACK составили около половины ответов, следующее место заняли различные сообщения межсетевого протокола управляющих сообщений ICMP. На каждый след затрачена примерно неделя наблюдений.