Cái đó lại liên quan đến kỹ thuật nhiều, khó giải thích em à, có nhiều hình thức tấn công, xong mỗi kiểu nếu nghiên cứu kỹ sẽ tìm ra được những đặc điểm riêng.
Dạng sơ cấp nhất, máy của mỗi người khi kết nối vào internet sẽ được cấp 1 ip không trùng với bất kỳ máy nào khác, dạng 123.345.678.910. 1 người dùng bình thường khi lướt web thường chỉ tạo tầm 1-10 kết nối tới máy chủ, nhưng các máy tấn công thuờng tạo đến hàng trăm, hàng ngàn kết nối cùng lúc tới máy chủ gây nghẽn mạng. Firewall sẽ đếm lượng kết nối để phát hiện bất thường và cấm truy cập máy đó.
Con cao cấp hơn là hệ thống nhiều máy tấn công hoặc botnet thì cần phân tích sâu hơn để biết chiêu thức, thường thì chả cái nào giống cái nào :p