Atak DDoS uderza z reguły bez ostrzeżenia i może wyglądać na wyłączony serwer WWW lub domenę hostingową. Z kolei testy serwera mogą wskazywać po prostu na duży ruch, który może wydawać się normalny.
Ponadto, atak DDoS z reguły nie pochodzi z jednego źródła, co utrudnia wyśledzenie konkretnego adresu IP w dziennikach log komputera. Cyberprzestępcy infekują zazwyczaj całe sieci użytkowników - łącząc ich w tzw. "Botnety" i przejmując kontrolę nad ich komputerami osobistymi, telefonami komórkowymi lub urządzeniami IoT.
Następnie przypuszczają atak za pośrednictwem sprzętu zainfekowanego złośliwym oprogramowaniem. Użytkownik, który “atakuje”, najczęściej nie ma świadomości, że jest tzw. “zombie”, a przynależność do "Botnetu" trwa niekiedy bardzo długo, aż do momentu wykrycia i zablokowania komunikacji urządzenia z centrum zarządzania (C&C_Command&Control). Z tego wynika złożoność identyfikacji ataku DDoS, że dane wysyłane są z różnych adresów IP, pomiędzy którymi mogą znajdować się także prawdziwi klienci.
Należy zatem zastanowić się, czy system nie jest celem ataku DDoS w następujących przypadkach:
Adres IP wysyła, w powtarzalny sposób, wiele żądań w ciągu kilku sekund lub pojawiają się takie same adresy IP.
W przypadku zauważenia takich adresów IP, można skierować ruch z tych adresów do tzw. "czarnej dziury", czyli pod adres interfejsu odrzucającego (NULL). Pozwala to przekierować ruch ze swoich serwerów. Co jednak, jeśli pomiędzy tymi adresami IP będą znajdować się klienci? Można dodać ich do białej listy, ale to bardzo żmudny proces.
Serwer odpowiada błędem 503
W takim wypadku można zdefiniować reakcję systemu na określone zdarzenie. Może to być np. wysłanie e-maila do administratora.
Limit czasu dla zapytań ping
Kontrola odpowiedzi na sygnał ping jest dobrym sposobem pozwalającym stwierdzić, czy z serwerem nie dzieje się coś niedobrego. Dostępnych jest wiele usług automatycznego wysyłania sygnałów ping, takich jak UpTimeRobot, Pingdom, InternetSeer czy Uptrends. Pozwalają one skonfigurować częstotliwość wysyłania sygnałów ping dla dowolnej witryny i zgłosić administratorowi przekroczenie limitu czasu.
Dzienniki pokazują ogromny wzrost natężenia ruchu
Do obserwowania ataków DDoS można użyć też usługi Loggly, która analizuje i pokazuje nie tylko skoki ruchu, ale także datę i godzinę ich wystąpienia, serwery źródłowe i błędy użytkownika. Pozwala także lepiej wykorzystać dzienniki i zaprojektować alerty, które mogą, na przykład, wykorzystywać kombinację zdarzeń i skoków ruchu, a następnie eliminować fałszywe alerty.