quindi, la mia domanda è:
Quando si verifica un attacco DoS e l'utente malintenzionato utilizza pacchetti IP contraffatti, questi pacchetti hanno tutti lo stesso IP di spoofing o ogni pacchetto ha un'intestazione IP diversa?
Grazie
Dipende dal motivo per cui l'attaccante sta spoofing.
Se fanno spoofing per rendere difficile separare il traffico dal traffico internet generale, ha senso spoofare il più a caso possibile.
Se stanno spoofing per sfruttare un buco in un firewall (ad esempio un firewall che accetta tutti i pacchetti dagli indirizzi interni a una vittima), ovviamente sceglierebbero gli indirizzi nell'intervallo che credono che il firewall consentirà.
Se stanno effettuando lo spoofing per eseguire un attacco "riflesso", l'IP sorgente alterato sarà l'IP della vittima.
Il caso di utilizzo più comune dello spoofing IP è quello di confondere i server su Internet (ad esempio i server DNS o NTP) per inviare le risposte a un host diverso da quello della richiesta effettiva, quindi tutti usano lo stesso IP di spoofing indirizzo.
In genere ciò avviene creando una piccola richiesta (ad esempio una ricerca DNS) e sostituendo l'indirizzo di origine della richiesta con la destinazione del DDoS. Il server DNS invia quindi la risposta alla destinazione DDoS anziché al mittente originale della richiesta. Se la richiesta è ampia (ad esempio una risposta DNS firmata DNSSEC) è possibile creare un attacco DDoS di grandi dimensioni con una larghezza di banda limitata solo dal lato dell'attaccante (purché ci siano abbastanza servizi pubblici che possono essere utilizzati per effettuare l'attacco effettivo) .
Ovviamente, questo funziona solo per i servizi UDP, dal momento che un handshake TCP trio fallirebbe.
Leggi altre domande sui tag denial-of-service ip-spoofing