POR EL PODER MÁGICO DE UNICORNS !!!
Aparte de eso, CAPTCHA es una solución muy pobre para la protección D / DoS. Si bien tiene algún efecto, esto es mínimo y es fácil de compensar por los atacantes.
CAPTCHA resuelve el problema incorrecto para esto, y lo resuelve mal .
CAPTCHA no intenta limitar las conexiones por velocidad; no está destinado a proteger el mecanismo de inicio de sesión de los ataques; CAPTCHA no puede diferenciar entre atacantes y usuarios legítimos.
Lo único que hace , y no muy bien, es que, como es lógico, es: Tell Computers and Humans Apart
. De hecho, esto podría ser útil para usted, si estuviera en una realidad similar a Matrix, donde todas las Computadoras son el enemigo y todos los Humanos son aliados.
En nuestra realidad, esa es una diferenciación sin sentido. Aparentemente, este podría ayudar a prevenir los ataques con guión , pero incluso si esto fuera cierto (no lo es), hay muchas formas de evitar ese requisito, por ejemplo. Los proxies de CAPTCHA (donde necesita resolver un CAPTCHA antes de que le mostremos dem pr0n) y las fincas de CAPTCHA (donde contrate a algunos clientes del futuro para "resolver" CAPTCHA por usted, a 4 $ por 1000 pops).
Además, en el caso de DDoS, a menudo este ataque está montado por un "movimiento político", es decir, las grandes masas de humanos deciden derribar un sitio determinado. Así que sí, CAPTCHA sería irrelevante aquí.
Además de todo eso, el CAPTCHA de vanguardia está muy por detrás del OCR de vanguardia. Si quieres que tus usuarios descifren fácilmente esas imágenes onduladas, la computadora también puede hacer esto bastante bien. Los mejores CAPTCHA se midieron a una tasa de éxito de OCR del 20%, lo que efectivamente significa que por cada solicitud exitosa, el atacante simplemente tendría que enviar 5 solicitudes. No es exactamente el orden de magnitud que haría una diferencia sustancial, para un atacante que ya está planeando montar un DDoS.
Algunas de mis otras publicaciones aquí y en SO sobre esto:
TL; DR:
La pregunta se basa en una suposición errónea:
¿Cómo se defiende CAPTCHA de los ataques DDoS?
No lo hace.
A lo sumo puede requerir un poco más de esfuerzo del atacante, pero no mucho.