entonces, mi pregunta es:
Cuando se produce un ataque DoS y el atacante está utilizando paquetes IP falsificados, ¿estos paquetes llevan todos la misma IP falsificada o cada paquete tiene un encabezado IP diferente?
Gracias
Eso depende de por qué el atacante está falsificando.
Si están falsificando para que sea difícil separar su tráfico del tráfico general de Internet, entonces tiene sentido falsificar lo más aleatoriamente posible.
Si están falsificados para explotar un agujero en un servidor de seguridad (por ejemplo, un servidor de seguridad que acepta todos los paquetes desde direcciones internas a una víctima) obviamente elegirán las direcciones del rango que creen que permitirá el servidor de seguridad.
Si están falsificados para realizar un ataque "reflejado", la IP de origen falsificada será la IP de la víctima.
El caso de uso más común de la suplantación de IP es engañar a los servidores de Internet (por ejemplo, los servidores DNS o NTP) para que envíen sus respuestas a un host diferente del que provino la solicitud real, por lo que todos ellos usan la misma IP falsificada dirección.
Esto se suele hacer creando una pequeña solicitud (por ejemplo, una búsqueda de DNS) y reemplazando la dirección de origen de la solicitud con el objetivo de la DDoS. El servidor DNS envía la respuesta al destino DDoS en lugar del remitente original de la solicitud. Si la solicitud es grande (por ejemplo, una respuesta DNS firmada por DNSSEC), puede crear un ataque DDoS grande con solo un ancho de banda limitado necesario en el lado del atacante (siempre que haya suficientes servicios públicos que puedan usarse para realizar el ataque real) .
Por supuesto, esto solo funciona para los servicios UDP, ya que un protocolo de enlace de tres vías TCP fallaría.
Lea otras preguntas en las etiquetas denial-of-service ip-spoofing