É possível distinguir entre pedidos de http “bons” e ataques DoS?

Um dos melhores indicadores de um ataque mal-intencionado é que há um grande número de solicitações de material que não é seu conteúdo real. Além disso, o melhor que você pode fazer é procurar padrões.

Milhares de pedidos idênticos ou similares da mesma fonte em um segundo podem muito bem fazer parte de um ataque do DOS. Também pode ser causado por um programa com defeito, mas da sua perspectiva a única diferença é a intenção. É claro que, se esse número for centenas de milhares ou mesmo milhões de pedidos, é justo apostar que você está de fato sendo atacado. O mesmo se aplica se esses pedidos forem originários de diferentes fontes.

Você não pode - pelo menos nem sempre. Depende completamente da natureza de um ataque DDOS: se ele acessa apenas uma página, pode ser um ataque DDOS desonesto ou apenas a multidão do slashdot (no caso do slashdot, você pode obter uma dica através dos referenciadores)

Se vários IPs começarem a aparecer com mais frequência e o site arrasar muito rapidamente, isso pode ser ruim para o seu site, ou pode ser desejado: se você tiver conteúdo interessante (e em constante mudança), ficará mais agressivo com o site grandes motores de busca. Isso pode não ser muito distribuído, mas pode, no mínimo, resultar em um DOS se for muito agressivo.

Afinal de contas: não está sendo slashdotted também um tipo de DDOS? É manual, mas muito distribuído e pode levar ao DOS.

Você não receberá dicas no referenciador se tiver um nome em um podcast de streaming popular, em que todos aprendem sobre o seu site ao mesmo tempo (o twit.tv vem à mente - eles costumam derrubar os sites mencionando-os) . Como todo mundo está digitando a URL manualmente em seu navegador, não há dica de onde eles vieram.

Última pergunta: Quando você determina o que são: o que você faria com eles? Sua rede pode estar saturada, então a proteção do DDOS precisa ser adicionada fora da sua rede - ou você está procurando um algoritmo para colocar lá?