نقل قول نوشته شده توسط MMSHFE مشاهده تاپیک
دقت کنید که استفاده از CAPTCHA مهم نیست چون این حمله، Bruteforce نیست و قصد کسی هم اصلاً کشف رمز کاربران سایتتون نیست بلکه هدف، خوابوندن سرور شماست. پس هرچی صفحه سنگین تر باشه و عکس و... گذاشته باشین، خودتون دارین به هکر کمک میکنید تا علاوه بر CPU (برای تولید CAPTCHA و نمایش صفحه و...) ترافیک سایت هم به فنا بره.
بله درسته بنده هم اشاره کردم به این موضوع (پردازش خود کپچا).
ولی بازهم در بعضی موارد کپچا احتمالا میتونه برای جلوگیری از DOS/DDOS موثر باشه. بطور مثال یک عملیات خاصی هست در سایت که پردازش سنگینی داره و حمله کننده اون رو شناسایی میکنه و درخواستهای خودش رو به اون بخش میفرسته، یعنی داره از سنگین بودن اون عملیات برای تقویت چند ده برابری و حتی چند صد برابری تاثیر منفی درخواستها روی سرور استفاده میکنه، در اینطور مواقع کپچا میتونه مانع این بشه که درخواستها بتونن بصورت خودکار ارسال بشن و اون عملیات سنگین رو در سرور موجب بشن. البته کپچا رو هم میشه از اول نذاشت و فقط وقتی درخواستها به یک محدودیت تعداد خاص در بازهء زمانی بر اساس اکانت یا آیپی رسید فعال بشه (به این شکل کاربران عادی بطور معمول کپچایی نمیبینن و اذیت نمیشن).
البته اینا همه راههای موردیه که بستگی داره به شرایط برنامه و کاربران و نوع و شدت حمله. ما فقط سعی کردیم تمام روشهای مختلفی رو که ممکنه در جای خودشون مفید یا لازم بشن مطرح کنیم. بدیهی است که نمیشه یک روش کلی و مطلق برای تمام موارد ارائه کرد، بخاطر تنوع شرایط برنامه ها/سرورها/کاربران/کاربردها و نوع حمله ها.
البته بجای روش کپچا میشه از محدودیت تعداد درخواست در بازهء زمان هم استفاده کرد، و میشه همزمان هر دو رو هم با هم ترکیب کرد اگر مفید بود. بهرحال کپچا ممکنه کرک شده باشه یا گاهی با روشهای دیگری که هست دور زده بشه.

حملات داس و دی داس در انواع و شدت تنوع زیادی دارن و این تاپیک هم کلیه نه درمورد یک شکل و شدت خاص (البته فکر میکنم برحسب سطح برنامه نویسی و کار خودمون بیشتر به اون موارد و راهکارهایی که در سطح اپلیکیشن هستن بپردازیم مربوط تر باشه).