Чтобы отличить DDoS-атаку от обычной перегрузки сервера, можно попробовать следующее:

1. Посмотреть логи. 1 Особенно важны переменные requesttime и upstreamresponse_time. 1 Первая показывает скорость выполнения запроса вместе с задержками, а вторая — скорость выполнения запроса в бэкенде. 1 Значение второй переменной особенно важно, если используется большое количество динамического контента. 1
2. Проверить количество запросов и пакетов в секунду. 1 Также стоит обратить внимание на резкий рост нагрузки на ресурсы сервера (CPU/RAM) и типы запросов. 1 О DDoS-атаке может говорить множество однотипных запросов с разных IP-адресов. 1
3. Обратить внимание на загрузку сайта. 2 Если сайт начинает загружаться значительно медленнее, это может быть признаком атаки. 2
4. Проверить доступность сервиса. 2 Полная или частичная недоступность сервиса для пользователей может проявляться в виде ошибок 503 (Service Unavailable) или других сообщений об ошибках. 2

Для точной диагностики и определения источника проблемы рекомендуется обратиться к специалисту.