Jak potwierdzić atak DoS?

Jakimi komendami można potwierdzić, że serwer jest celem ataku DoS?

W necie znalazłem coś takiego:

Kod:

tcpdump -n -c 1000 | grep 2 | awk '{printf ("%s -> %s\n"),$3,$5}' | sort | uniq -c | sort -n -r | head -20


(pokazuje 20 ip z którymi mamy największy ruch)
i ewentualnie inne sprawdzenie:

Kod:

netstat -na | grep ":80" | awk '{print $5}' | cut -d. -f1-4 | cut -d: -f1 | sort -n| uniq -c | sort -n -r | head -20


(pokazuje 20 ip z którymi mamy największy ruch na porcie 80)

Co jeszcze można zrobić/sprawdzić?