Постфактум без специальных улитит такие вещи установить крайне трудно. Вам могли прилететь полтора гигабита UDP флуда, которые сервер при всём желании обработать не смог бы (даже не из-за ksoftirqd, а просто потому что интерфейсы столько не держат или канал провайдера уже). Но вообще странный DDoS на 15 минут, это неоправдано и не нужно, разве что в качестве пробы пера перед настоящими проблемами.
Теребите ТП, пускай смотрят статы на интерфейсах и другую диагностику, если вам это недоступно. А пока она отвечает, настраивайте atop, sar, всё что угодно, лишь бы собирало диагностику и складывало в файл. Потом, после восстановления, можно будет поднять хистори и отследить, что случилось. У atop удобный ncurses-интерфейс, sar собирает очень глубокую диагностику.
