Система защиты игровых чатов от DDoS-атак работает путём отделения вредоносных запросов от легитимных. 5

Процесс начинается с анализа трафика. 5 Система собирает и изучает весь трафик, который идёт на сервисы. 5 Обычно анализ осуществляется по трём параметрам: 5

1. Качественные характеристики трафика (используемые протоколы, порты, флаги и т. д.). 5
2. Количество пакетов данных в секунду. 5
3. Количество байт в секунду. 5

В случае аномалии весь трафик направляется на фильтрацию. 5 Для определения типа атаки используются специфические контрмеры, например: 5

• Лист глобальных исключений (или «база отпечатков пальцев») — статичный набор правил противодействия разным атакам. 5 Список можно пополнять или, наоборот, сокращать. 5
• Географический фильтр — фильтрует данные по географическому признаку: например, отсекает трафик из заданных стран. 5
• Базовая очистка — блокирует пакеты данных, которые были сформированы некорректно, не пропускает трафик с аномально большим количеством TCP-сессий и IP-адресов. 5
• Блокирование бот-сетей из регулярно обновляемых списков IP-адресов, которые ранее были замечены в атаках. 5

Когда атака прекращается, трафик минует этап очистки и возвращается на свой обычный маршрут. 5

Некоторые системы защиты используют алгоритмы машинного обучения, которые проводят поведенческий анализ активностей и создают модели нормального взаимодействия игрового сервиса со своими пользователями. 1 Те активности, которые заметно выходят за рамки нормальной модели, автоматически блокируются. 1