それは「隠されている」の定義によります。はい、すべてのIPアドレスは公開されています。しかし、40億ものIPアドレスのうち、どれが正しいものなのでしょうか?この議論においては、特定のDiscourseフォーラムを提供しているサーバーのIPアドレスを特定する方法がない場合、IPアドレスは隠されていると見なすことができると思います(つまり、ホストの実際のIPアドレスを提供する関数f(h)が未定義である場合)。
ただし、以下の条件とします。
- あなたがCloudflareではないこと
- フォーラムが一方向のトラフィック(oneboxingや送信メールヘッダー、その他の方法)を通じてIPアドレスを明らかにしないこと
しかし、「隠されている」という言葉は紛らわしく、不正確であるという点には同意します。「不明」の方がおそらく適切でしょう。
それはDDoSの種類によります。アプリケーション層の攻撃であれば、これは真実かもしれませんが、リクエストの検査を伴う何らかのレート制限が必要となるため、困難でもあります。しかし、ネットワーク層の攻撃(増幅による単なるトラフィックフラッディングやSYN攻撃)では、これは当てはまらないかもしれません。さらに、あなたが言っていることは基本的に「緩和できるなら問題ではない」ということですが、それは当然のことですが、困難または高価でもあります。
攻撃の種類にもよります。アプリケーション層の攻撃はDiscourseに合わせて調整される必要がありますが、例えば、アプリケーションサーバーを圧倒するような重いクエリ(検索など)を実行することができます。一方、ネットワーク層の攻撃はより一般的で、より多くのトラフィックを必要とし、nginxやVPSのネットワークを詰まらせる可能性があります。