Здравствуйте! С наступающим!

У меня есть веб сервис (asp.net mvc в облаке). Клиент обращается к нему через ajax, сервис выдает ответ, например, список товаров. Все просто.
А как его защитить?
Без защиты можно зациклить функцию javascript, которая вызывает ajax запрос и полностью подвесить сервер.

Первое что приходит на ум - капча, но нельзя же при запросе товаров требовать капчу!

По идее нужно делать так:
1. при первом запросе записать в базу айпи с которого пришел запрос и время запроса
2. при следующих обращениях, проверяем нет ли такого айпи в базе, если есть то сравниваем время. Если время меньше, например, 2 секунд, то задерживаем выполнение запроса на те же 2 секунды.
3. Кроме того, подсчитываем общее количество запросов от данного айпи за определенный промежуток времени. Если оно превышает определенное значение, то баним этот айпи.

Вообще получается недешево, запросы к таблице при каждом обращении, проверки. Иногда проверку будет сложнее чем сам запрос товаров.

Я в правильном направлении думаю?
Кто-нибудь делал что-либо подобное?
Заранее спасибо и с Новым Годом!

st_st,

вы имеете ввиду платные сервисы по защите от ddos атак? то есть другого варианта нет? или кто-то все-таки пишет защиту на самом веб сервисе?

Так что абсолютно все отдают эту часть на аутсорс?
То есть существует только один путь:
1. написал сайт
2. ищешь компанию которая будет его защищать

Я правильно понял?

Если правильно, тогда еще два вопроса:
1. Кого порекомендуете?
2. Когда обращаться? Ну понятно, когда сайт создан, 0 посещаемости, смысла нет. А когда смысл появляется?