Concernant la détection des adresses spoofées, encore une fois je n'y connais rien mais est-ce seulement possible ? Quand l'émetteur donne sa propre adresse ça n'est pas juste pour faire joli, c'est aussi pour que l'appareil d'en face puisse lui faire parvenir une réponse. Sans cette adresse impossible de savoir où envoyer le message de retour, donc de la même façon si elle est falsifiée comment est-il possible de s'en rendre compte ? Les équipements réseau ne peuvent pas se mettre à faire des ping pour valider l'émetteur de chaque message, déjà parce que ça serait super lourd mais surtout parce que ça deviendrait une nouvelle faille exploitable un peu comme la "DNS reflection" mentionnée dans l'article (ou dans l'un des articles liés, je ne sais plus).
Dans tes trois solutions j'aurais tendance à croire plutôt la deuxième, quitte à rendre les FAI responsables quand une attaque a lieu depuis leur réseau. Mais chaque FAI ne voit qu'une partie de l'attaque (celle qui est émise depuis son réseau), je ne sais pas si c'est suffisant pour détecter quelque chose. J'aurais tendance à penser que voir tout à coup des milliers d'appareils émettre des requêtes vers une même adresse alors que la seconde d'avant il n'y avait aucun trafic dessus, c'est suffisamment évident pour déclencher au minimum une vérification humaine. Mais peut-être que c'est une impression un peu simpliste. Quelqu'un s'y connait en réseau ici ? ^^