O mais certo é que, embora dependa da natureza do DoS e da instrumentação exposta pelo SNMP.
- Pacotes por segundo é uma boa métrica para ser usada se o dispositivo oferecer suporte, já que muitos ataques DoS aparecem como muitos pacotes tentando saturar a capacidade dos links de rastrear muitos itens.
- O rendimento da interface também, uma vez que outra maneira de DoS é lançar mais tráfego do que o link pode manipular. A CPU da
- é outra ótima, já que os ataques DoS específicos do dispositivo podem se manifestar à medida que a CPU do roteador / firewall / switch está acabando e fazendo com que coisas ruins aconteçam.
Certifique-se de definir limite de alerta acima do normal em seu pacote de monitoramento, e você deve pegá-los.