Se é realmente um ataque DoS distribuído (Como você sabe? Se houver apenas tentativas de conexão, simplesmente poderia ser malware ...), ele normalmente é executado por meio de um botnet - computadores trojanizados e explorados por pessoas desconhecidas são controlados por algum terceiro. Há pouca chance de descobrir quem está por trás disso, mas se você tiver mais evidências, um impacto maior sobre a disponibilidade do seu site e talvez uma carta de chantagem, você deve encaminhar os dados para a polícia.