Atakujący zakłóca działanie systemu poprzez wykorzystanie podatności DoS lub generowanie dużej ilości ruchu.
- nietypowo wysoki ruch sieciowy na serwerach publicznie dostępnych
- brak dostępu do usług sieciowych z powodu braku odpowiedzi lub timeoutów
- analiza ruchu sieciowego
- logi firewalla, urządzenia brzegowego
- logi systemu operacyjnego
- jeśli atak prowadzony jest na podatną usługę/urządzenie: uruchom działania naprawcze zespołu odpowiedzialnego za aktualizację i opiekę nad sprzętem/aplikacjami
- jeśli atak spowodowany jest typu flood: kontakt z zespołem wsparcia sieciowego lub dostawcą usług internetowych (ISP) żeby zablokowali na infrastrukturze przed adresem docelowym ataku
- analiza możliwości wprowadzenia technik obrony przed takimi atakami (i wdrożenie jeśli możliwe)
- analiza i optymalizacja konfiguracji urzadzeń sieciowych, wzbogacenia ich przepustowości itp.
- jeśli możliwe załatanie lub wyłączenie podatnych na atak usług
- poprawa bądź dopisanie procedur działania w przypadku ataku DDoS np. poprzez spisanienie/aktualizacja listy kontaktowej operatorów dostawcy łącza mogacych pomóc w przypadku powtórzenia ataku