Det finns flera typer av dos attacker, vanligast mot webservrar är överbelastningsattacker där man laddar om något på sidan väldigt snabbt väldigt ofta. vanligtvis så ökar trafiken till servern när detta händer så lättast att hitta dos attacker tycker jag är att installera mrtg eller någon annan typ av graf över serverns trafik, du får kanske ta trafiken i dessa grafer med en nypa salt beroende på hur bra filtrering din leverantör har.
Jag driver tex en IRC server på ett av de större IRC chat nätverken och jag vet att när min graf visar 100Mbps attacker så är de vanligtvis på 1-2Gbps pga att det mesta filtreras ut innan det når servern och att servern beräknar medeltal, att den ena sekunden träffas av 2Gbps så räknas detta värde över en period av kanske 5 minuter och visas då i din graf som betydligt mindre än vad den verkligen var pga att leverantören filtrerade bort trafiken snabbt.
anyways.. när du i grafen ser tidpunkten för attacken så är det lättare att hitta källan till attacken i dina webloggar.
exempel på mrtg graph:
Attackerna förra veckan Måndags natt och under Onsdagen översteg 1Gbps (enligt företaget som sponsrar servern)
Jag tycker iallafall att mrtg är mycket bra att installera, du kan ju där bekräfta när en attack sker och när din leverantör ljuger.
Lycka till!