Ví dụ:

Một hacker sở hữu 1 số lượng lớn device và bandwidth. Chẳng hạn người này âm thầm dành ra 3 tháng trước đó để phát tán 1 loại virus và gây nhiễm được 10^6 thiết bị của người dùng internet. Virus này có chức năng âm thầm request đến 1 địa chỉ khi được nhận lệnh. Lúc này với 10^6 thiết bị trong tay hacker ra lệnh chúng đồng loạt request đến trang web example.com. Lúc này dưới góc nhìn của server của trang web các request của DDOS client không khác gì so với request của 1 user bình thường do đó nó sẽ cố gắng phục vụ hết mình, đến khi không thể phục vụ được nữa do số lượng quá lớn. Trong quá trình này các request của những user thực sự cần sử dụng dịch vụ của example.com sẽ không được phản hồi nữa vì server bận phục vụ các bạn DDOS client mệt nghỉ rồi.

Theo cách hiểu của mình, khi đặt 1 trang tĩnh phía trước trang web chính các DDOS client sẽ request lấy trang tĩnh đó chứ ko lấy trang web chính nữa. Trang tĩnh có có thời gian load nhanh hơn nhiều so với trang chính (cache ở client, dùng CDN để serve), do đó chúng ta có thể đáp ứng tốt hơn với số lượng request lớn.

User có thể truy cập đến trang chính thông qua 1 link trong trang tĩnh. Khi click vào link này 1 cookie sẽ được thêm vào. Một firewall sẽ đồng thời được thiết lập tại trang web chính để check xem request có chứa cookie này hay ko. Nếu có tức là client này đã từng đến trang tĩnh và hiểu được việc phải làm thế nào để đến được trang chính, đồng nghĩa với đây là user bình thường. Nếu không có cookie thì request này sẽ bị reject.