Es más fácil / rápido verificar si un CAPTCHA es correcto en vez de buscar un usuario en la base de datos (esto puede incluir nuevas conexiones, hash y más). Un servidor primero verifica el CAPTCHA, si es correcto, luego procesa el resto del inicio de sesión, si no devuelve un error.

Es importante tener en cuenta que la creación de una imagen CAPTCHA requiere un procesamiento, pero esto se puede hacer con imágenes pre renderizadas bastante efectivas o incluso subcontratando a otros servicios (como reCAPTCHA).

POR EL PODER MÁGICO DE UNICORNS !!!

Aparte de eso, CAPTCHA es una solución muy pobre para la protección D / DoS. Si bien tiene algún efecto, esto es mínimo y es fácil de compensar por los atacantes.

CAPTCHA resuelve el problema incorrecto para esto, y lo resuelve mal .
CAPTCHA no intenta limitar las conexiones por velocidad; no está destinado a proteger el mecanismo de inicio de sesión de los ataques; CAPTCHA no puede diferenciar entre atacantes y usuarios legítimos.

Lo único que hace , y no muy bien, es que, como es lógico, es: Tell Computers and Humans Apart . De hecho, esto podría ser útil para usted, si estuviera en una realidad similar a Matrix, donde todas las Computadoras son el enemigo y todos los Humanos son aliados. En nuestra realidad, esa es una diferenciación sin sentido. Aparentemente, este podría ayudar a prevenir los ataques con guión , pero incluso si esto fuera cierto (no lo es), hay muchas formas de evitar ese requisito, por ejemplo. Los proxies de CAPTCHA (donde necesita resolver un CAPTCHA antes de que le mostremos dem pr0n) y las fincas de CAPTCHA (donde contrate a algunos clientes del futuro para "resolver" CAPTCHA por usted, a 4 $ por 1000 pops). Además, en el caso de DDoS, a menudo este ataque está montado por un "movimiento político", es decir, las grandes masas de humanos deciden derribar un sitio determinado. Así que sí, CAPTCHA sería irrelevante aquí.

Además de todo eso, el CAPTCHA de vanguardia está muy por detrás del OCR de vanguardia. Si quieres que tus usuarios descifren fácilmente esas imágenes onduladas, la computadora también puede hacer esto bastante bien. Los mejores CAPTCHA se midieron a una tasa de éxito de OCR del 20%, lo que efectivamente significa que por cada solicitud exitosa, el atacante simplemente tendría que enviar 5 solicitudes. No es exactamente el orden de magnitud que haría una diferencia sustancial, para un atacante que ya está planeando montar un DDoS.

Algunas de mis otras publicaciones aquí y en SO sobre esto:

• Un buen resumen aquí en Sec.SE
• ¿Se acerca el CAPTCHA no basado en imágenes? en SO
• ¿Se ha resquebrajado / pirateado / hackeado / OCR'd / derrotado / roto? en SO

TL; DR:
La pregunta se basa en una suposición errónea:

  

¿Cómo se defiende CAPTCHA de los ataques DDoS?

No lo hace.
A lo sumo puede requerir un poco más de esfuerzo del atacante, pero no mucho.

Un captcha evita que un atacante realice más operaciones intensivas en la base de datos que pueden causar un DoS a través de la CPU o el agotamiento de la memoria. Sin embargo, este es solo el caso cuando el consumo de CPU y memoria causado por la generación de la imagen captcha debe ser menor que el de la solicitud de página normal. Una forma de garantizar esto es utilizar un servicio de captcha fuera del sitio, como reCAPTCHA.

Normalmente, el aspecto de prevención DoS del captcha es un subproducto de su uso como medida de seguridad de inicio de sesión, para evitar intentos de inicio de sesión automatizados.

No creo que los captchas puedan ayudar contra un ataque de Denegación de Servicio. Creo que incluso podrían plantear un hilo de DoSing en el sitio si el algoritmo de captcha requiere una gran cantidad de CPU.

Para ejecutar un ataque DoS exitoso en un servidor, los costos del atacante deben ser más bajos que el costo del servidor atacado. El servidor tiene altos costos incluso si usa captchas. El servidor necesita generar los captchas y transmitir toda la página a los clientes.

Editar: En resumen: un Captcha puede ser contraproducente si la generación del captcha cuesta demasiado.

No lo hace, aunque a veces se ven reclamos a ese efecto. Los CAPTCHA están destinados a evitar el envío automático de datos en un sitio web. Los ataques DDoS casi siempre son a nivel de red, mucho antes de que los datos se envíen a través de HTTP. Si un formulario HTML es vulnerable a los ataques DoS (no DDoS), un CAPTCHA dificultaría la explotación, pero la solución adecuada es corregir el formulario, no abofetearlo (CAPTCHA).

Dependiendo de su método de implementación, simplemente el hecho de poder diferenciar los robots de los usuarios reales es lo suficientemente adecuado para mitigar un ataque de tipo Capa 7, siempre que esté alojando el CAPTCHA en una máquina / ip diferente, luego puede reenviar solo el tráfico que pasa el captcha.

También sugeriría configurar múltiples de estos servidores proxy de captcha en un DNS round-robin para redundancia, entonces está aumentando el tamaño de la tubería para que las posibilidades de que sus servidores se caigan debido a la saturación de la tubería disminuyan drásticamente. >     

  

Uno de los usos de CAPTCHA es hacer frente a mitigar los ataques de Denegación de Servicio.

¿Es eso un uso de CAPTCHA? Dudo que pueda ayudar mucho con tal ataque.

Si el campo CAPTCHA es correcto o no es en gran medida irrelevante, si la solicitud está simplemente en una cola en espera de ser procesada.

Si la solicitud de ataque es aceptada por el servicio HTTP, entonces ha hecho su trabajo.

No estoy seguro de cómo un servicio CAPTCHA remoto puede mejorar mucho la situación. No puede evitar que el hacker haga la solicitud. Lo único que puede hacer es reducir la carga en el servidor principal, ya que no necesita generar las imágenes.

Los ataques DDoS se manejan mejor mediante la capa de firewall, donde las solicitudes se pueden eliminar antes de que lleguen al servidor web.

El sitio de mi compañía se vio afectado dos veces esta semana por un ataque DDoS ... no en nosotros, sino en otro sitio alojado en las mismas instalaciones que el nuestro. Entonces, ¿cómo responde esto a las preguntas sobre CAPTCHA? Es que la mayoría de los ataques DDoS son simples inundaciones de solicitudes y pueden no tener nada que ver con su página de inicio de sesión o un formulario, donde (presumiblemente) existe un CAPTCHA.

DDoS es muy fácil de hacer, difícil de detectar y prevenir. Por supuesto, podría hacer que un servidor haga mucho trabajo para generar y servir un CAPTCHA y eliminarlo de esa manera. Pero una red bot o un grupo de computadoras en la nube pueden generar rápidamente suficiente tráfico para inundar las colas de la mayoría de los servidores web, o incluso antes de eso, los enrutadores y los cortafuegos.

Esto podría haber sido cierto en algún día antiguo, como 2013 o algo así.