Probabilmente intendete includere attacchi DDoS (Distributed Denial of Service) piuttosto che attacchi DoS che potrebbero tecnicamente essere un singolo pacchetto (pensate a Ping of Death).
Nondimeno, i criteri che stai chiedendo sono leggermente diversi da provider a provider, ma alcune cose che sono facilmente rintracciabili da questi dispositivi sono le seguenti:
1.) Vedere i sistemi generare improvvisamente grandi scoppi di traffico, oltre 10.000 pacchetti al secondo è una buona regola empirica.
2.) Visualizzazione di un gran numero di pacchetti che lasciano una rete di clienti con indirizzi IP di origine falsificati. In teoria questo sarebbe bloccato dalle regole di uscita, ma succederà.
3.) Grandi quantità di traffico intenzionalmente dannoso. Attacchi SYN Flood, attacchi UDP Flood, attacchi di amplificazione DNS, richieste SNMP di massa inviate da un host "target".
4.) Grandi quantità di pacchetti intenzionalmente frammentati.
Cisco, un grande produttore di routing commerciale, ha un documento che può anche darti maggiori informazioni su ciò che può essere rilevato.
link
Wikipedia ha una voce davvero utile sugli attacchi di tipo Denial of Service che menziona anche molto del traffico di rete che vorrete cercare.
link
Infine, può essere utile anche il seguente documento
link