Probablemente te refieres a incluir ataques DDoS (Denegación de Servicio Distribuida) en lugar de ataques DoS que técnicamente podrían ser un solo paquete (piense en Ping of Death).
No obstante, el criterio que está preguntando es ligeramente diferente de un proveedor a otro, pero algunas cosas que estos dispositivos pueden rastrear fácilmente son las siguientes:
1.) Ver los sistemas de repente genera grandes ráfagas de tráfico, por encima de los 10.000 paquetes por segundo es una buena regla general.
2.) Ver grandes cantidades de paquetes que salen de una red de clientes con direcciones IP de origen falsificadas. En teoría, esto estaría bloqueado por las reglas de egreso pero sucede.
3.) Grandes cantidades de tráfico malintencionado intencionalmente. Ataques de inundación SYN, ataques de inundación UDP, ataques de amplificación de DNS, solicitudes masivas de SNMP enviadas desde un host "objetivo".
4.) Grandes cantidades de paquetes intencionalmente fragmentados.
Cisco, un gran fabricante de enrutamiento comercial, tiene un documento que también puede brindarle más información sobre lo que se puede detectar.
enlace
Wikipedia tiene una entrada realmente útil sobre ataques de denegación de servicio que también menciona mucho del tráfico de red que querrá buscar.
enlace
Finalmente, el siguiente documento también puede ser útil
página