Как я мог узнать, что множество запросов за короткий промежуток времени исходит от DoS-атаки, а не от обычных запросов браузера?
Один из лучших индикаторов злонамеренной атаки - это огромное количество запросов на материалы, которые не являются вашим фактическим контентом. Помимо этого, лучшее, что вы можете сделать, - это искать закономерности.
Тысячи идентичных или похожих запросов из одного и того же источника в течение секунды вполне могут быть частью атаки DOS. Это также может быть вызвано неисправной программой, но, с вашей точки зрения, единственная разница заключается в намерении. Конечно, если это число составляет сотни тысяч или даже миллионы запросов, можно с уверенностью сказать, что вы действительно подверглись атаке. То же самое применимо, если эти запросы исходят из разных источников.
Вы не можете - по крайней мере, не всегда. Это полностью зависит от характера DDOS-атаки: если она обращается только к одной странице, это может быть мошенническая DDOS-атака или просто скопище слэшдотов (в случае слэшдота вы можете получить подсказку через рефереры)
Если несколько IP-адресов начинают появляться чаще и слишком быстро проскальзывают ваш сайт, это может быть плохо для вашего сайта или может потребоваться: если у вас есть интересный (и изменяющийся) контент, большие поисковые системы будут более агрессивно атаковать вас. . Это может быть не слишком распространено, но, тем не менее, может, по крайней мере, привести к DOS, если будет слишком агрессивным.
В конце концов: разве слэшдот не является разновидностью DDOS? Это руководство, но очень распространено и может привести к DOS.
Вы не получите подсказок в реферере, если вас называют в популярном потоковом подкасте, где все узнают о вашем сайте одновременно (на ум приходит twit.tv - они часто закрывают сайты, упоминая их). Поскольку каждый вводит URL-адрес вручную в свой браузер, нет никаких подсказок, откуда они пришли.
Последний вопрос: когда вы определите, что они собой представляют: что бы вы с ними сделали? Ваша сеть может быть уже насыщена, поэтому необходимо добавить защиту от DDOS за пределами вашей сети - или вы ищете алгоритм для размещения там?