È più facile / più veloce controllare se un CAPTCHA è corretto rispetto a cercare un utente nel database (questo può includere nuove connessioni, hashing e altro). Un server controlla prima il CAPTCHA, se è corretto, elabora il resto del login, se non restituisce un errore.

È importante notare che la creazione di un'immagine CAPTCHA richiede qualche elaborazione, ma ciò può essere fatto con immagini pre-rendering piuttosto efficaci o anche con l'outsourcing verso altri servizi (come reCAPTCHA).

DAL POTERE DEL MAGICK UNICORNS !!!

Da una parte, il CAPTCHA è una soluzione molto scadente per la protezione D / DoS. Mentre ha qualche effetto, questo è minimo, e facilmente compensato dagli aggressori.

CAPTCHA risolve il problema sbagliato e lo risolve male .
CAPTCHA non tenta di limitare la velocità delle connessioni; non ha lo scopo di proteggere il meccanismo di accesso dagli attacchi; CAPTCHA non è in grado di distinguere tra utenti malintenzionati e utenti legittimi.

L'unica cosa che fa fa - e non molto bene, a quel punto - non è sorprendente: Tell Computers and Humans Apart . Questo potrebbe in effetti essere utile per te, se tu fossi in una realtà simile alla Matrix, dove tutti i Computer sono il nemico, e tutti gli Umani sono alleati.
Nella nostra realtà, questa è un'inutile differenziazione. Apparentemente, questo potrebbe aiutare a prevenire attacchi con script - ma anche se ciò fosse vero (non lo è), ci sono molti modi per aggirare quel requisito - ad es. I proxy CAPTCHA (dove devi risolvere un CAPTCHA prima di mostrarti dem pr0n) e le fattorie CAPTCHA (dove assumi alcuni fariselti per "risolvere" CAPTCHA per te, a 4 $ per 1000 pop).
Inoltre, nel caso di DDoS - spesso questo attacco è montato da "movimento politico" - cioè grandi masse di umani decidono di abbattere un determinato sito. Quindi sì, CAPTCHA sarebbe irrilevante qui.

Oltre a tutto ciò, CAPTCHA allo stato dell'arte è molto indietro rispetto all'OCR all'avanguardia. Se vuoi che i tuoi utenti possano decifrare facilmente quelle immagini deformate, il computer può farlo anche molto bene. I migliori CAPTCHA sono stati misurati con una percentuale di successo dell'OCR del 20%, il che significa che per ogni richiesta riuscita l'attaccante avrebbe semplicemente dovuto inviare 5 richieste. Non proprio dell'ordine di grandezza che farebbe una differenza sostanziale, per un aggressore che sta già pianificando di montare un DDoS.

Alcuni dei miei altri post qui e su SO in merito a questo:

• Un buon riepilogo qui su Sec.SE
• Pratici approcci CAPTCHA non basati su immagini? su SO
• ReCaptcha è stato crackato / hackerato / OCR'd / sconfitto / rotto? su SO

TL; DR:
La domanda si basa su un'ipotesi errata:

How does CAPTCHA defend from DDoS attacks?

Non lo è.
Al massimo potrebbe richiedere un po 'più di sforzo da parte dell'attaccante, ma non molto.

Un captcha impedisce a un utente malintenzionato di eseguire operazioni che richiedono un numero maggiore di database e che potrebbero causare un DoS tramite CPU o esaurimento della memoria. Tuttavia, questo è solo il caso in cui la CPU e il consumo di memoria causati dalla generazione dell'immagine captcha devono essere inferiori a quelli della normale richiesta di pagina. Un modo per garantire questo è utilizzare un servizio captcha fuori sito, come ad esempio reCAPTCHA.

Di solito, l'aspetto della prevenzione DoS del captcha è un sottoprodotto del suo utilizzo come misura di sicurezza di accesso, per impedire tentativi di accesso automatici.

Non penso che i captcha possano aiutare contro un attacco Denial Of Service. Penso che potrebbero persino creare una discussione su DoSing del sito se l'algoritmo captcha richiede un uso intensivo della CPU.

Per poter eseguire un attacco DoS su un server con successo, i costi di un attaccante dovrebbero essere inferiori al costo del server attaccato. Il server ha costi elevati anche se usa i captcha. Il server deve generare i captcha e trasmettere l'intera pagina ai client.

Modifica: In breve: un captcha può essere controproducente se la generazione del captcha costa troppo.

Non lo è, anche se a volte vedi affermazioni in merito. I CAPTCHA hanno lo scopo di impedire l'invio automatico di dati su un sito web. Gli attacchi DDoS sono quasi sempre a livello di rete, molto prima che i dati vengano inviati tramite HTTP. Se un modulo HTML è vulnerabile agli attacchi DoS (non DDoS), un CAPTCHA renderebbe difficile lo sfruttamento, ma la soluzione corretta è quella di correggere il modulo, senza schiacciare un cerotto (CAPTCHA) su di esso.

A seconda del tuo metodo di implementazione, semplicemente essere in grado di differenziare i robot dagli utenti reali è sufficiente per mitigare un attacco di tipo Layer 7, a condizione che tu stia ospitando CAPTCHA su un altro computer / ip, quindi puoi inoltrare solo il traffico che ha superato il captcha.

Suggerirei anche di impostare più di questi captcha proxy in un round robin DNS per la ridondanza, quindi aumenterai le dimensioni del tubo in modo che le possibilità che i tuoi server si riducano a causa della saturazione delle condotte scendano drasticamente.

One of the uses of CAPTCHA is to cope mitigate Denial of Service attacks.

È un uso di CAPTCHA? Dubito che potrebbe aiutare molto con un simile attacco.

Se il campo CAPTCHA è corretto o meno è in gran parte irrilevante, se la richiesta è semplicemente seduta in una coda in attesa di essere elaborata.

Se la richiesta di attacco viene accettata dal servizio HTTP, l'operazione è stata eseguita.

Non sono sicuro di come un servizio CAPTCHA remoto possa migliorare molto la situazione. Non può impedire all'hacker di fare la richiesta. L'unica cosa che potenzialmente fa è ridurre il carico sul server principale, poiché non è necessario generare le immagini.

Gli attacchi DDoS sono gestiti meglio dal livello del firewall, dove le richieste possono essere eliminate prima che colpiscano il server web.

Il sito della mia azienda è stato colpito due volte questa settimana da un attacco DDoS ... non su di noi, ma su un altro sito ospitato nella stessa struttura del nostro. Quindi, come risponde a questa domanda su CAPTCHA? La maggior parte degli attacchi DDoS sono semplici inondazioni di richieste e potrebbero non avere nulla a che fare con la pagina di accesso o un modulo, dove (presumibilmente) esiste un CAPTCHA.

DDoS è straordinariamente facile da fare e difficile da individuare e prevenire. Quindi, si può fare in modo che un server faccia un sacco di lavoro per generare e servire un CAPTCHA e portarlo giù in quel modo. Ma una rete bot o un cluster di computer cloud possono generare rapidamente abbastanza traffico per inondare le code della maggior parte dei server Web, o anche prima, dei router e dei firewall.

Questo potrebbe essere vero in alcuni vecchi tempi, come il 2013 o qualcosa del genere.