DDoSからWebサイトを保護するために、ブラウザーがWebサイトをチェックしていますか？

ほとんどのサービス拒否（DOS）攻撃は、攻撃者側とターゲット側に含まれるリソース間の非対称性に依存しています。言い換えると、DOSが成功するには、クライアント側でリソースをほとんど必要としない（つまり、各クライアントが大量の要求を送信できる）アクションが必要ですが、サーバー側で大きなリソースを使用する必要があります（そのため、サーバーは負荷を処理するため）。

このため、DDOS攻撃（DOS攻撃の「分散」バージョン）は、実際の人間がブラウザのタブでリンクをクリックするのではなく、ボットが大量の並列リクエストをターゲットに送信することで明らかに攻撃されます。この結果、DDOSの「クライアント」は実際のブラウザではなく、多かれ少なかれブラウザをシミュレートするツールになります。

Cloudflare DDOS保護システムは 迅速に説明されています 以下のようにWebサイトにあります： "チェックが完了するまでの間、5秒間インタースティシャルページがサイトの訪問者に表示されます"。

ここで2つのことに注意を向けます。

• チェック：自動DDOSボットから実際のWebサイトユーザーを並べ替える最も明白な方法は、HTTPクライアントが実際のブラウザーかどうかをチェックすることです。テストのパネルに対してクライアントの動作をテストすることができます（投稿を参照 " ブラウザのフィンガープリントによるボットの検出 "インスタンス）そして、その結果を、クライアントが主張するブラウザの正規のインスタンスから期待される結果と比較します（たとえば、クライアントがWindows 10マシンで実行されるFirefoxバージョン52であると主張する場合、同じ特性を示しますか？） 。

• 5秒：JavaScriptテストの実行と訪問者のリダイレクトは非常に高速でほぼ透過的な操作である可能性があるため、この「5秒」のタイムアウトは偶然そこにありますが、サーバーを優先して計算の非対称性を元に戻すことを意図しています。

  • そのような原則の最も軽いバージョンは、同じリクエストを再送信する前に5秒間待機（スリープ）するようクライアントに要求することです（Cloudflareページで説明されているように、Cookieに一意の識別子が保存されています）。これにより、DDOSクライアントは保留中のリダイレクトのキューを何らかの方法で処理するように強制され、最終的にDDOSプロセス全体の効果が低下します。

  • より残酷な代替策は、平均的なホームシステムで解決するために数秒を必要とするいくつかの数学的課題を解決するようにブラウザーに要求することです。そのような場合、攻撃者は続行する場合、これらの課題を解決するために計算能力を費やす以外に選択肢はありませんが、これを行うと、要求を送信する代わりにすべての攻撃者のリソースが課題の解決に忙しいため、非対称性が完全に無効になります。最後に、攻撃対象のシステムではなく、攻撃者のシステムを「DOS」化します。