DDoS攻击分不同的类型，不同类型，根据上面要溯的不同的源难易也有差别，下面讨论方面，把上面说的源123表现为level1/level2/level3.

　　直接攻击型：

　　比如SYN flood/ACK Flood/DNS Flood/UDP Plain Flood/http flood等，这些往往都是botnet发起的，发起的时候有的会捏造源IP，有的不捏造。辨认了攻击流量，简略统计就知道到了level 1。没有捏造源ip的，leve2就等于level1。对于捏造源ip的情况，level2在被攻击方就无法获取，运营商级别可以做spoof检测，或者持续的跟踪botnet，进而持续的跟踪CC发起的攻击指令，看CC都连了哪些client，看哪些client吸收到了攻击指令。level3单独讨论。

　　反射放大型：

　　反射放大基础都是为了打带宽，由于有了反射放大的因素在里面，基础都不用botnet，找/黑/租几个机器上去打流量就行了。在被攻击端，看到的ip都是真实的ip，都是被利用的反射放大节点，level1简略。但是和上面直接攻击型不一样的是，这时候的发起IP可不能说就是看到的真实攻击IP了，因为有反射的因素在里面，level2的ip应当是那几台发起原始流量的机器，而不是反射流量的源ip。这个level2，运营商可以做，看哪些子网有非自己段的源ip的流量出来，然后可以做端的流量检测，比如HIDS。level3单独讨论。

　　你看，上面我说到运营商，都是说他们“可以做”，但是他们能不能做，想不想做，这就是另外的话题了。

　　之所以单独讨论level3，是因为level1/level2属于如果想干，理论上是确定能干成的。而level3，理论上就没法说确定能干成。看CC是被谁把持的，反射放大的把持人是谁，这个比较难，毕竟网络攻击抓现场你也看不到人，不过思路也不是没有，攻击也都是为了挣钱，他们会有交易，会有圈子，初期的信息采集(比如找可用的反射放大源)可能用的都是自己的ip，各种小动作会漏出破绽，在多个阶段关联，有时也能关联出来。