Ho appena letto questo articolo da logly ( link ), e mi sono chiesto.
L'autore afferma che sotto un attacco DDoS, l'output netstat sul server attaccato mostrerebbe qualcosa del genere:
TCP 192.168.2.104:00 216.35.50.65:60973 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60974 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60975 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60976 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60977 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60978 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60979 TIME_WAIT
.
.
.
Qualcuno può spiegarmi perché succederebbe questo? Dal momento che è un attacco DDoS, non dovrebbe avere connessioni da diversi IP da botnet?