Después de algunos días de pensar que mi internet era mucho más lento de lo normal, comencé a considerar la posibilidad de que alguien me ddé ya que mi internet solo se cae en ocasiones especiales como mantenimiento o cosas relacionadas. Mi amigo me advirtió que solo era posible encontrar al atacante si lanzaba el ataque directamente desde él, y que es imposible rastrear a un atacante que utiliza un servicio de sitio web pagado.
¿Es cierto? ¿Algún consejo al respecto?
Esto es más una cuestión de redes. Si el atacante lanza el ataque desde su casa sin ninguna protección, entonces la IP apuntará a su casa. Si paga un servicio para hacerlo, o utiliza un servidor en la nube, entonces la IP apuntará al servicio y no a su hogar.
Pero el servicio tendrá registros de quién los pagó, por lo que es posible que los investigadores rastreen el ataque de esa manera.
Incluso si el atacante de ddos estaba lanzando el ataque ellos mismos, la atribución sigue siendo muy difícil. Es posible que pueda rastrear de qué tipo de botnet proviene el ataque, pero probablemente es mejor comunicarse con su ISP si realmente cree que está bajo ataque.
Seguro que será difícil, pero digamos que si el atacante está usando un servicio de "arranque", deberá rastrear y piratear el servicio de arranque o obligarlos a que den la dirección IP de la persona que ordenó el ataque. Irónicamente ddossing el servicio de arranque. Para piratear, la suplantación de DNS + phishing con proxy a sitio real es probablemente su mejor apuesta.
Muchos booters usan amplificación UDP en lugar de botnets, y muchos usan el servidor para atacar también. Muchos también harán ping al objetivo para determinar si está inactivo. Puedes usar eso para rastrear el servidor del atacante, y si tienes suerte, será el mismo que el que aloja la página web del booter.
Honestamente, no es necesario utilizar un servicio de arranque para las conexiones domésticas. Es muy fácil deshabilitar completamente la conexión a Internet en casa con un solo servidor porque la carga del servidor es mucho mayor que la mayoría de las velocidades de descarga de ISP. También pueden usar la falsificación de IP para ocultar su dirección IP, pero nuevamente, muchos harán ping a la IP para verificar que está inactiva, lo que puede revelar la IP del servidor.
Si están usando algún servicio DDoS, el ataque tendrá un aspecto similar al siguiente:
[Attacker] ---- DDoS command ----> [Server] ----- Traffic -----> [You]
Entonces, si mirara la dirección de origen del tráfico, llegaría a la dirección IP de algún servidor propiedad o controlado por el servicio DDoS, no por el atacante.
La dirección IP del atacante aún podría obtenerse, ya que habrá registros en los servidores del servicio DDoS de cada ataque y de dónde se originan.
Si el ataque se inicia directamente desde el atacante, tiene este aspecto:
[Attacker] ----- Traffic -----> [You]
En este caso, la fuente de tráfico sería la del atacante.