Кратко, по делу.
1) Основные уязвимости подхода «время ответа = признак подозрительности»
- Большая вариативность латентности по географии и провайдерам — высокий риск ложных срабатываний для удалённых регионов.
- Зависимость от сетевой среды и загруженности сервера — временный рост задержек не равен злонамеренной активности.
- Лёгкая манипуляция: прокси, VPN, Tor, мобильные сети, CDN и ретрансляторы меняют RTT; ботнеты/приёмы «slow-loris» позволяют имитировать медленные соединения.
- Атаки-обходы: злоумышленник подменяет путь (использует близкий прокси) или распределяет атаку по большим пулом IP, уменьшая per-IP latency риски.
- Уязвимость к DoS: атакующий специально повышает задержки (через перегрузку сети/прокси) для целевых регионов или для конкретных пользователей, чтобы сервис начал их блокировать — это превращает защиту в средство отказа в обслуживании.
- Возможность дискриминации и правовых рисков при постоянной блокировке географических групп.
2) Возможные векторы обхода и эксплуатации
- Использование прокси/нат‑реле/близкого VPS для уменьшения RTT.
- Клиент‑side spoofing: прокси, VPN, Tor, мобиль «scheduling».
- Распределённая атака: много узлов с нормальной latency, каждый делает немного активности — агрегированно обходят пороговые правила.
- Индуцирование задержек на сетевом уровне (BGP hijack, перегрузка каналов) чтобы вызвать ошибочную блокировку конкурентов/регионов.
- Манипуляция заголовками/параметрами, чтобы увеличить серверное время обработки и подставить медленное время.
3) Принципы архитектуры и политики, минимизирующие ложные срабатывания и DoS‑уязвимость
- Нельзя полагаться на один сигнал. Использовать многосигнальную риск‑оценку (ensemble):
- измерения латентности на разных уровнях: TCP/TLS handshake на edge, RTT из браузера (если доверять), серверный процессинг; IP‑репутация, геолокация, поведенческие паттерны, устройство/браузер‑фингерпринт, скорость вводимых данных и сессий.
- итоговый risk‑score как взвешенная сумма: $$score=w_{lat}{f}_{lat}(L)+w_{rep}{f}_{rep}+w_{beh}{f}_{beh}+\dots$$
- Адаптивные и региональные пороги:
- для каждого региона/ASN/POP держать базовую статистику (медиана $m_r$, MAD или IQR): используйте робастные метрики, не среднее.
- метрика «аномалии по латентности»: $$f_{lat}(L)=\frac{L-m_r}{{\text{IQR}}_r}$$ или z‑аналог с MAD.
- пример правила: пометить подозрительным, если $L>m_r+k\cdot {\text{IQR}}_r$ с $k$ = $1.5÷3$ в зависимости от желаемой чувствительности.
- Персонифицированные базовые линии и экспоненциальное сглаживание:
- для каждого пользователя/устройства держать EWMA: $$S_t=\alpha L_t+(1-\alpha )S_{t-1}$$ где $\alpha$ small (напр., $0.05$) — чтобы учитывать постоянные медленные связи без флагов.
- Политика действий — прогрессивная эскалация, а не немедленная блокировка:
1. score < low — разрешить.
2. low ≤ score < high — step‑up: дополнительные проверки (CAPTCHA, реквизиты, ограниченный доступ, 2FA).
3. score ≥ high — временная блокировка с возможностью обжалования; логировать и мониторить.
- Не применять жёсткие геоблоки по одному признаку.
- Минимизировать автоматические разрушительные последствия:
- использовать rate‑limit и квоты вместо блокировок по латентности.
- временные меры (throttling) с экспоненциальным откатом, журналирование и алерты для оператора при росте блокировок.
- «fail open» для критичных бизнес‑функций: при сомнении позволять базовые операции, блокируя только чувствительные.
- Защита от DoS, связанного с этими правилами:
- перенести первичную валидацию на edge/CDN/Anycast POP; применять SYN cookies, connection pooling, TLS session resumption.
- использовать DDoS‑scrubbing / провайдеров защиты, Anycast для распределения нагрузки.
- ограничивать влияние одного источника на статистику: агрегировать по /24 или ASN, эмоционально фильтровать «выбросы».
- при массовых аномалиях латентности — приостанавливать автоматические блокировки и переключаться на режим расследования.
- Метрики и мониторинг
- отслеживать FPR (ложноположительные), TPR, средний latency per region, число step‑ups и апелляций пользователей.
- авто‑тесты на fairness: проверять, что rate блокировок по регионам/ASN/операторам не превышает допустимый порог.
- хранить детальные логи для пост‑mortem и для возможности ручной разблокировки.
4) Конкретные рекомендации реализации (коротко)
- Использовать медиану и IQR/MAD, а не среднее: устойчивость к выбросам.
- Хранить per‑region/per‑user базовые линии; обновлять EWMA.
- Собирать мультисигналы: $\{L_{tcp},L_{tls},L_{client},ip\_rep,device\_score,behavior\}$.
- Формировать score и применять три уровня реакции (allow / step‑up / block).
- Применять CDN/Anycast + DDoS‑scrubbing + rate limits.
- Реализовать UI/операторские процедуры для апелляций и ручного вмешательства.
5) Пример формулы для латентностного фактора
- Пусть $m_r$ — медиана по региону, ${\text{MAD}}_r$ — медианная абсолютная девиация. Тогда: $$f_{lat}(L)=\frac{L-m_r}{{\text{MAD}}_r+ϵ}$$ - Итоговый score: $$score=w_{lat}\cdot \sigma (f_{lat})+w_{rep}\cdot f_{rep}+w_{beh}\cdot f_{beh}$$ где $\sigma (\cdot )$ — нормализация в $[0,1]$.
Итог: время ответа само по себе ненадёжно и атакуемо. Надёжная система комбинирует робастную статистику, персональные базовые линии, много сигналов, прогрессивные меры (step‑up), и инфраструктурную защиту от DDoS.