DDoS 攻撃には 2 つの方法があると考えていました。
- 大きなパケットを送信しています。
- 多数のパケットを送信しています。
ネットワーク管理者は、IP 接続を、たとえば 3 ユーザー/IP に制限し、帯域幅に制限を設けないのはなぜでしょうか?
問題はないと思います。帯域幅を制限するのに問題なく機能する NetLimiter 3 Pro などのソフトウェア製品は数多くありますが、ユーザー/IP は制限しません。
答え1
まず、「DDOS」という言葉を定義しましょう。これは分散型サービス拒否、キーワードが配布されています。IP ごとの接続数を制限しても、何十万もの異なる IP アドレスがシステムを圧迫するため、問題にはなりません。
つまり、リクエスト サイズによって制限するということですね。では、F5 を使用している人とボットネット内のノードをどうやって区別するのでしょうか?
しかし、魔法の行動分析アルゴリズムがあるとしましょう。DDoS攻撃はサーバーのリソースを使い果たし、マシンにアクセスできないようにすることを目指します。リソース不足によって引き起こされる問題に複雑なデータ分析を投入すると、悪化させる問題を解決するのではなく、問題そのものを指摘するのです。
残念なことに、接続を無視するだけでも、ある程度のリソースが消費されます。リクエストあたりのリソース使用量を抑えるキャッシュと、(おそらく) 人間による DDoS 検出を組み合わせた Cloudflare などのサービスを検討することもできますが、このサービスを自分で再実装することは、ほとんどのプロジェクトの範囲外であり、複雑さが大幅に増すことになります。
答え2
制限できない彼ら誰かがあなたに向かって銃弾を撃ってきたら、撃たれる銃弾の数をどのように制限しますか? 銃弾があなたに届く頃には、すでに被害は出ています。