Подробнее пиши как организована сеть? атака снаружи или изнутри? какие именно умные железки?

Созданно 13 VLAN. на каждый район посылается свой.

айпишники в зависимости от района
192.168.1.1
192.168.2.1
....
192.168.13.1

атака изнутри, хотя не отрицается факт что и снаружи.
рабочая циска одна, одна же по нетфлоу посылает билингу статистику. Билинг - отдельная тачка с бубунтой.

насчет умных железок.
Стоит Dlink - 3026 в основном. и кое где Трикомы стоят...

Канал лежит полностью. Как можно узнать с какого района идут большее количество пакетов..

ну на циске можно посмотреть статистику по интерфейсам, например командой show interface gigabotEthernet x/x. Там буит видно и колво каналов и утилизация портов и тд. А вообще схема такая - отрубаешь все абоненткие порты и смотришь инет пошел или нет - так определим откуда атака (это с учетом что реально дос или ддос идет). Потом если с нета то при помощи файервола стараемся погасить атаку. Если атака изнутри - делаем зеркалирования всего внутренего трафа на какой нить свободный порт циски и втыкаем туда машину со снифером. Пока так

sedoy_xxx прав.

Можешь еще врубать абонентские сетки по одной и наблюдать за реакцией сети (если дос идет от одной машины или одной сети), если будет бот-сеть из нескольких подсетей, то без снифера не обойтись.

Еще одной из подобных причин может быть зависание "умной" железяки и могут помочь разные варианты перезагрузки (от програмной до физической). Бывает такое из-за петли в сетке (признак - одна из железяк начинает судорожно моргать всеми глазиками).

Похожая причина у меня постоянно творится с D-Linkом. Постоянно вижу атаки или петли, а оказывается свитч повис, приходится, удалённо или ручками, грузить его.

Большое спасибо. Разобрался. Виновные получили по шапке. =)