Immagino che qualcosa dovrebbe essere notato sulla botnet e DDoS.
L'interesse principale del sistema distribuito della botnet è che non è possibile identificare un bot da un vero client.
Pensa in questo modo:
Scenario
Qualcuno infetta molti computer inviando un virus. Ogni utente ingannato ora fa parte della cosiddetta botnet. Supponiamo che tu abbia 100M bot.
Conseguenze
Utilizzo dell'indirizzo IP
Questo scenario implica che gli indirizzi IP dei robot hanno indirizzi IP dinamici o statici in base alla loro politica ISP. Quindi la raccolta di indirizzi IP è inutile. Presto o tardi, la piscina sarà rinnovata.
Rete distribuita e identificazione
DDoS funziona in questo modo: chiederai a ciascun bot di connettersi a un server.
Domanda: come fai a sapere se stanno tentando di accedere al tuo server per uno scopo legittimo o semplicemente per saturare il tuo pool di connessioni?
Dato questo, poiché non è possibile identificare se un client è parte o meno dell'attacco, non è possibile compilare un elenco affidabile di IP della rete distribuita.
Conclusione
Sebbene non sia impossibile, penso che la prevenzione degli attacchi DDoS via IP non sia possibile a causa delle due sfide esposte: uso di un identificatore reale (indirizzo IP) e identificazione dei bot.
Forse se un gruppo di server segnalasse attacchi su live a un server master, è più che probabile che il successivo attacco da quella serie di robot avrà indirizzi IP diversi. Inoltre, non puoi negare l'accesso al tuo sito se un IP compare una volta nella lista di un indirizzo che ha tentato di accedere a un server che sa di aver subito un attacco DDoS, perché vieterai i client legittimi che non hanno nulla a che fare con l'attacco.
A proposito, non ho mai sentito di una tale lista.
I nodi di uscita di rete TOR sono più facilmente identificabili. Alcune risorse come link