Imaginons maintenant que les contres-attaques des sondes sont vues par l'attaquant (il met son interface en mode promiscuité ou ne camoufle pas le fait qu'il est la source de l'attaque... il préfèrera alors un simple ping flood pour ne pas subir le premier niveau de DDoS). Il va alors pouvoir détecter la présence de sondes IDS, leur nombre, et leur type. Ainsi, il connait avec certitude une partie des mesures de sécurité prises sur tout le parcours de l'attaque du réseau cible ... choses que les responsables sécurité n'aiment pas divulguer.
Nous rappellons, comme expliqué précédemment, les problèmes d'explosion des fichiers de logs que ces DDoS entraînent.
Voici un dernier point qui utilise le revers de la médaille des contre-attaques automatiques : si nous mettons 2 sondes sur 2 réseaux séparés A et B, et qu'une attaque se produit sur le réseau B en passant par le réseau A. La conte-attaque de la sonde du réseau B sera vue par la sonde du réseau A. Cette dernière va donc contre-attaquer la source de la première attaque (si on avait été joueur, on aurait falsifié la source en indiquant la sonde du réseau C, réseau qui se trouve derrière B), mais aussi la source de la deuxième attaque qu'est la sonde B. Ceci est une hypothèse, il faudrait tester pour savoir si l'IDS est protégé contre ce type d'attaque. Il y en a surement beaucoup qui ne le sont pas.