Supongo que se debe tener en cuenta algo en la red de bots y DDoS.
El principal interés del sistema distribuido de la red de bots es que no puede identificar un bot de un cliente genuino.
Piénsalo así:
Escenario
Alguien infecta muchas computadoras enviando un virus. Cada usuario engañado es ahora parte de la llamada botnet. Digamos que tienes 100M bots.
Consecuencias
Uso de la dirección IP
Este escenario implica que las direcciones IP de los bots tienen direcciones IP dinámicas o estáticas dependiendo de su política de ISP. Por lo tanto, recolectar direcciones IP no vale nada. Pronto o después, la piscina será renovada.
Red distribuida e identificación
DDoS funciona de esta manera: le pedirás a cada bot que se conecte a un servidor.
Pregunta: ¿Cómo sabe si están intentando acceder a su servidor con un propósito legítimo o simplemente para saturar su conjunto de conexiones?
Dado esto, como no puede identificar si un cliente es parte del ataque o no, no puede compilar una lista confiable de IP de la red distribuida.
Conclusión
Aunque no es imposible, creo que la prevención de ataques DDoS por IP no es posible debido a los dos desafíos expuestos: el uso de un identificador real (dirección IP) y la identificación de bots.
Tal vez si un grupo de servidores informara ataques en vivo a un servidor maestro, es más que probable que el próximo ataque de ese conjunto de robots tenga diferentes direcciones IP. Además, no puede negar el acceso a su sitio si una dirección IP apareció una vez en la lista de una dirección que intentó acceder a un servidor que sabe que sufrió un ataque DDoS, porque prohibirá los clientes legítimos que no tienen nada que ver con el ataque.
Por cierto, nunca escuché de tal lista.
El nodo de salida de red TOR se identifica más fácilmente. Algunos recursos como enlace