¿Es posible un ataque DoS en una sola conexión doméstica cuando el ISP usa NAT?

La capacidad de saturación del ancho de banda de un ISP completo es muy posible y, desafortunadamente, sucede a diario. Tienes razón en que con las técnicas como NAT de nivel de operador y el usuario final puede no tener una dirección IPv4 dedicada, pero eso puede resultar en una interrupción cuando se te ataca. Y, por supuesto, si el ISP implementó IPv6, es posible dirigirse de manera única al usuario final de esa manera.

La respuesta es sí, es posible incluso si estás detrás de un NAT. Debido a que los ataques DDoS varían desde ataques de nivel de red como ping de la muerte hasta ataques de nivel de aplicación.

Puede que tenga suerte si su ISP ha implementado la protección Anti DDoS en su nivel de puerta de enlace (la mayoría de ellos lo hace en estos días, al menos para ataques básicos como ping de la muerte, ataques de alta tasa de paquetes, etc.).

Bueno, depende. Sin reglas de DNAT explícitas, no se puede acceder directamente detrás del NAT, pero solo después de que se haya iniciado una conexión iniciada desde su lado. Sin embargo, no estoy muy seguro de si la pregunta tiene sentido, porque cuando el punto de entrada / salida de NAT es DoSed, también se verá afectado, ya que es su ruta a Internet.