Por lo que recuerdo, hablo de cabeza, hay que diferenciar el ataque DoS que lo realiza un solo ordenador o el DDoS que son varios los que realizan el ataque.
para realizarlos se suelen utilizar programas como Loic, que permiten hacer el ataque individual o colectivo mediante IRC,.
es posible identificar de donde viene el ataque mediante la ip de los usuarios, aunque de poco suele valer ya que se utilizan servicios gratis de DNS del estilo NO-IP.com para cambiar las ips e imposibilitar la localizacion de las mismas.
se puede mirar durante otro ataque las ips de los invitados durante el mismo. Si es la misma sabremos que se trata de DoS y sin son varias ya es algo mas elaborado ya que hay implicados varios ordenadores coordinados mediante un IRC.
ya digo hablo de cabeza, lo mismo esto ya a cambiado, si estoy equivocado que alguien me corrija.