In caso di flooding di massa non c'è IDS che tenga.
Per DoS non devi pensare necessariamente al solo freezing della macchina, al crash del singolo componente o al classico consumo eccessivo di risorse che rallenta il sistema.
Se in caso di flooding un IDS blocca preventivamente qualunque richiesta di connessione dall'esterno è vero che il sistema non crasha e rimane in piedi ma è altrettanto vero che tale sistema non potrà più offrire alcun servizio al mondo esterno. E questo non è soltanto un DoS in piena regola, ma direi piuttosto che ne è addirittura l'essenza stessa.
Se il flooding è massiccio non c'è soluzione che tenga, salvo quella di staccare il cavo di rete e aspettare che l'attacco finisca.