> Все просто. Если ты ограничиваешь подключения с одного ip, то, к твоему
> сведению, 1000 затрояненных ботов стоят 35$. А если ты ограничиваешь суммарно
> то лимит быстро исчерпается даже силами одного бота и дальше никто
> подсоединиться не сможет. Включая обычных пользователей.По крайней мере сервер не задосят, что уже хорошо и уже собственно решение проблемы ддоса сервриса. Но да, встает другая проблема, если лимит соединений будет постоянно исчерпан, то никто нужный не подключиться..... а теперь посмотрим на новую проблему под другим углом - т.е. если досят сервис, досят намеренно, целенаправленно, и очень большим кол-вом машин, то обычно досят те сервисы, от которых и ожидают того, что сервисы помрут, и/или может еще и рута дадут. И в этот саый момент, когда ддос происходит, сервис обычно и так еле работает т.е. новый обычный пользователь один черт не сможет подключиться и сервисом пользоваться.
Я клоню к тому, что если сервис досят, неважно, получиться у них это или нет сервис в любом случае перегружается и начинает работать еле-еле, т.е. при ддосе, работа обычным пользователям как не крути а не светит. И тут у нас есть выбор - либо мы не фаерволимся, сервис досят - пользователь не работает, сервис умирает, либо мы фаерволимся, сервис досят, пользователь не работает, но сервис остается живой и сдоровый.
ИМХО, если мы не можем доса избежать, мы в первую очередь должны защитить сервис, а не возможность новых пользователей подключаться. Пока сервис досят, пользователь один фиг не сможет им нормально пользоваться.