В то же время только 1% атак, в которых используется формирование пакетов с некорректным IP-адресом отправителя, хотя именно так принято описывать DoS-атаки. Результаты исследования говорят о том, что принятый ранее сложный способ отражения DoS-атак, который контролировал ответы жертвы и возникающие при этом ошибки. Однако зомбированный компьютер корректно указывает обратный IP-адрес и ошибок не возникает. Поэтому для выявления источников нападения нужно выявлять IP-адреса, с которых посылается большое количество запросов на атакуемый сервер. Однако, как только атакующие зомби-компьютеры выявлены, достаточно блокировать поток поступающих от них фальшивых запросов на соединение. Проведенное исследование, скорее всего, улучшит качество работы защитных механизмов, предназначенных для блокирования DoS-атак.