Добрый день!
Давайте по порядку.
Во первых платформа x16 (ODS 2), впрочем как и любая другая лицензируется только по легитимному трафику. У Вас лицензия на 1 гигабит трафика. Все что квалифицированно как атака, не считается. 1М PPS это хардверное ограничение платформы. Но есть одна "тонкость" в подсчет идет не только входящий трафик, а и исходящий. Если быть точнее то суммируется весь исходящий трафик по всем портам. Этим самым и достигается подсчет только легитимного трафика. Сообщение о достижении 90% использования лицензии Вы увидите уже при, скажем, 700 мегабит входящего и 200 исходящего.
Теперь о том что происходит при превышении лицензии. Все что больше имеющейся лицензии, просто дропается. При этом никакие модули защиты не отключаются и все функционирует в штатном режиме. В старых версиях софта были разнообразные баги, в том числе и связанные с ошибками в DME, которые приводили к отключению фильтрации DoS (Собственно DME и отвечает за фильтрацию по сигнатурам сформированным BDoS модулем софта). Пришлите версию, я посмотрю.