Ciao, volevo solo un feedback su un DDOS che impediva lo script php che sto progettando. E 'abbastanza semplice e volevo un feedback sul fatto che voi ragazzi pensiate che sarebbe efficace.
Attualmente sto usando il ulogin framework come base e ho implementato le API Key. Al momento l'utente invierà una richiesta con una chiave. Questa chiave viene confrontata con il database per vedere se è corretta. Quindi se la chiave non è corretta il programma tornerà.
Se la chiave è corretta, alcune statistiche verranno calcolate. La prima cosa è incrementare il contatore. L'hit medio al secondo verrà calcolato dal momento in cui ha iniziato a richiedere l'ora corrente. Inoltre c'è una finestra di X secondi in cui il contatore sarà resettato (diciamo 300). Il programmatore specifica il numero massimo di richieste che dovrebbero essere consentite in questa finestra. Se la chiave supera il limite delle richieste per reset delle statistiche (Finestra) o supera una certa quantità di richieste al secondo, verrà bloccato e non verrà dato l'accesso. Tuttavia, il contatore si incrementa ma viene avviato un altro contatore (conteggio dei blocchi).
Quando il contatore è impostato a 0 alla fine della finestra, il conteggio per la finestra successiva sarà impostato su quale sia il conto di blocco e il conto di blocco sarà impostato su 0. Se l'utente non usa l'API tasto per X (finestra) secondi, quindi entrambi i contatori verranno reimpostati su 0.
Ho aggiunto una variabile transferpenalty (0-1) che prenderà una percentuale del blockcount sulla finestra successiva invece dell'intero conteggio dei blocchi ma non penso che sia necessario averlo.
È già stato fatto? Questo proteggerebbe da una chiave API sniffata utilizzata per (D) DOS un server? Quali sono i tuoi pensieri:)