každopádně u takového útoku už nelze brát nějaké ohledy... prostě nemají jedinečnou veřejnou IP adresu, takže všichni za NATem budou (dočasně, než útok pomine) zakázání spolu s útočníkema tedy je ještě k tomu příspěvku výše... otázka co je myšlenou tou identifikací - pokud jen tedy z provozu vyfiltrovat IP s vysokým počtem požadavků a to zakázat, tak to lze relativně snadno (na to jsou převážně specializované HW firewally), jen ty krámy musí takový provoz zvládnout - pokud vám někudy běžně tečou megabity a najednou vám to tam naskočí třeba na desítky gigabitů, tak je velká šance, že nějaký HW v cestě na to není dimenzovaný (výkonem procesoru nebo rychlostí síťový karty)anebo jestli identifikovat napadené zařízení - tak to musíte kontaktovat firmu, které IP adresy patří, ta to předá třeba ISP, který má IP adresy přiděleny, ten má za tou IP adresou stovky zákazníků, když dohledají toho jednoho, tak ten má svůj router a za ním často nezjistíte nic (může být napadený router nebo jakékoliv zařízení ve vnitřní síti) - zejména když už to zařízení, které je součástí botnetu, dostalo příkaz "ukončit akci" a nic podezřelého nikam neposílá