Acabo de leer este artículo de loggly ( enlace ), y me hizo preguntarme.
El autor afirma que bajo un ataque DDoS, la salida de netstat en el servidor atacado mostraría algo como esto:
TCP 192.168.2.104:00 216.35.50.65:60973 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60974 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60975 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60976 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60977 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60978 TIME_WAIT
TCP 192.168.2.104:00 216.35.50.65:60979 TIME_WAIT
.
.
.
¿Puede alguien explicarme por qué sucedería esto? Dado que es un ataque DDoS, ¿no debería tener conexiones desde varias IP diferentes desde botnet?