Non penso che ci sia una risposta assoluta qui.
Un certo numero di appliance e applicazioni di rilevamento DDoS funzionano in questo modo: esegui una misurazione della linea di base in bit / sec e pacchetti / sec per determinare quali livelli normali sono per la tua configurazione e quanto questi livelli fluttuano. Idealmente, si effettua questa linea di base per un periodo di tempo più lungo per tenere conto dei modelli giorno / notte e giorno della settimana / fine settimana. Quindi, puoi scegliere un livello al di sopra del quale decidi che i modelli di traffico sono sospetti.
Un altro approccio potrebbe essere quello di testare vari livelli di pacchetti / sec di SYNS per determinare a quale livello la tua rete, applicazione o qualunque cosa tu stia cercando di proteggere è sofferenza, allora hai scelto un livello che è al sicuro sotto questa quantità di pacchetti / sec.