L'origine de l'attaque n'a pas encore pu être déterminée avec précision, mais d'importants flux de données en provenance de Corée du Sud ont été détectés. En revanche, aucune information n'a filtré quant aux motivations qui ont conduit à cette attaque : tentative d'extorsion de fonds ou simple volonté de nuire ?
Ces treize serveurs racine (root) sont chargés de rediriger les requêtes vers les serveurs en charge de la gestion des noms domaine (DNS) .com, .fr ou .org. En pratique, ils ne sont presque jamais sollicités par l'internaute lambda, mais soutiennent l'ensemble de l'architecture du réseau au niveau mondial. La gestion de ces serveurs, centralisée par l'Icann (Internet Corporation for Assigned Names and Numbers), est confiée à différents organismes et sociétés, majoritairement basés aux Etats-Unis.
« Si vous faites tomber les serveurs racine, vous faites tomber Internet », indique Ben Petro, vice président de Neustar, une des sociétés qui assurent la gestion de de ces serveurs. La dernière attaque de grande envergure visant les serveurs racine date d'octobre 2002. D'importants progrès ont été effectués depuis, tant en matière de puissance de calcul que de protections contre les attaques. Ainsi, une bonne partie du trafic visant les serveurs racine dans le cadre de l'attaque du 6 février a rapidement pu être filtré pour éviter que les machines ne saturent.
L'attaque a été lancée vers 5h30 mardi matin, et a très rapidement connu son point culminant vers 7 heures du matin, avant de prendre fin douze heures plus tard, vers 19 heures. Une opération de moindre envergure, vraisemblablement destinée à tester la résistance des serveurs et le niveau des protections mises en place, avait été menée la veille, dans la soirée.
