█ اسکریپت PHP مهار کننده حملات دیداس - PHP DDoS Protection

[yastheme]

قرار نیست که اتکر هر بار با یک sessionID ثابت صفحه را لود کند که توسط این اسکریپت بتوان شناسایی اش کرد ...

کد:

if (isset($_SESSION['LAST_ACTIVITY']) && (time() - $_SESSION['LAST_ACTIVITY'] > $ps)) {

اتکر هر بار یک sessionID جدید داخل هدر به سایت ارسال میکنه ، یعنی عملا همیشه مقدار $_SESSION['LAST_ACTIVITY'] برابر با time() و مقدار $_SESSION['rec'] برابر با1 است...

بله دقیقا، این مورد در حملات DDoS رایج است اما در برخی از حملات که معمولا کلودفلر یا سرویس های دیگر را بایپس می کنند و از آن عبور می کنند و به سرور هاستینگ میرسند به این دلیل است که کوکی توسط همه بات های یک بات نت پذیرفته می شود و هر رکوئست یک سشن جدید نیست، حتی دستورات جاوا نیز پردازش می شوند،
البته همانطور که گفتم این یک کد ساده است و می توان امکان تست پذیرفتن کوکی و رفرش صفحه با جاوا جهت تست صحت مرورگر توسط یک برنامه نویس اضافه شود،(مثل Page wait کلودفلر یا سرویس کلود پروتکشن ما) شاید طی روز های آینده در اولین فرصت به آن اضافه کنم.
در هر صورت همانطور که گفتم این کد قرار نیست همه حملات را پشتیبانی کند.