Допустим, нужно защитить сайт от коллективного DDoS через один из сервисов LOIC. Т.е. количество атакующих будет исчисляться сотнями, а защита от ботнетов не требуется. При этом высокая мощность атаки достигается не большим количеством атакующих, как в случае с ботнетом, а частыми обращениями к сайту. Тогда следующая схема в теории должна полностью нейтрализовать атаку: При обращении к сайту система записывает IP пользователя. Если с интервалом менее 10 секунд с некоторого IP было совершено 20 запросов подряд, то IP добавляется в черный список на пять минут, в течении этого времени все запросы от него игнорируются. Правильно я мыслю, или нет?
Так и поступают. Но - есть умный DDoS, если ты будешь отслеживать каждое обращение, и блокировать ип если количество обращений достигло 20, то будут DDoS'ить по 19 запросов в N времени. А если обычный юзер откроет сразу несколько вкладок? А если он открыл 20 вкладок и закрыл браузер, чтобы прочитать потом, открыв браузер, тут же будут попытки загрузиться, и бан. Сейчас эра умных ботов, их принцип вести себя как человек.
