Eu estava pensando, se um ataque DDoS pode ocorrer de duas maneiras:
- Envio de pacotes grandes.
- Enviando muitos pacotes.
Por que os administradores de rede não limitam as conexões IP, digamos, 3 usuários/IPs e definem um limite para sua largura de banda?
Eu não vejo o problema. Conheço muitos produtos de software, como o NetLimiter 3 Pro, que funcionam bem para limitar a largura de banda, mas não limitam usuários/IPs.
Responder1
Bem, em primeiro lugar, vamos definir o termo “DDOS”. Isso significaNegação de serviço distribuída, palavra-chave sendo distribuída. Se você limitar o número de conexões por IP, não importa, porque você tem cem mil endereços IP diferentes martelando seu sistema.
Então você limita pelo tamanho da solicitação. Ótimo, como você distingue entre um cara F5ing e um nó em uma botnet?
Mas seja como for, digamos que temos um algoritmo mágico de análise comportamental. Os ataques DDoS procuram esgotar os recursos do servidor e garantir que a máquina não esteja acessível – lançar análises de dados complexas em um problema causado pela falta de recursos iráexacerbaro problema, não resolvê-lo.
O fato lamentável é que até mesmo ignorar uma conexão exige alguns recursos. Você poderia considerar procurar um serviço como o Cloudflare, que combina cache para baixo uso de recursos por solicitação com (acredito) detecção de DDoS auxiliada por humanos, mas reimplementar esse serviço por conta própria provavelmente está fora do escopo da maioria dos projetos e aumentaria enormemente a complexidade.
Responder2
Você não pode limitareles. Se alguém está atirando em você, como impor um limite de quantas balas essa pessoa pode atirar em você? No momento em que a bala chega até você, o estrago já está feito.