Наступним кроком після попередження атаки є виявлення атаки. Для будь-якої схеми виявлення атаки показником ефективності є відсоток виявлення атак. При цьому потрібно враховувати, що виявлення атаки на відмову відрізняється від виявлення несанкціонованого вторгнення. Наслідком атаки є відмова в обслуговуванні, тому результат здійснення атаки досить легко визначити. Проблема полягає в виявленні в своєчасному і надійному виявленні місця і типа атаки. Ситуація ускладнюється тим, що хоча деякі типи атак використовують експлойти, вразливості програмного забезпечення, фальшування і специфічну форму пакетів, взагалі кажучи , всі ці ознаки не є обов'язковими умовами атаки на відмову. Певні типи атак імітують звичайний трафік і завантажують ним канали зв'язку. Тому будь-яка схема ризикує помилково прийняти інтенсивний звичайний трафік за атакуючий . Виникає питання - навіщо тоді потрібна система виявлення атаки? Для цього є декілька причин. По-перше, при вчасному виявленні атаки жертва може виграти час для виконання заходів з протидії та захисту своїх ресурсів. По-друге, виявлення атаки може допомогти ідентифікувати нападників. По-третє, якщо будуть швидко виявлені джерела атаки, трафік можна відсікти до того, як він завантажить пропускні ресурси системи.
