Всё зависит от вашего определения слова скрыт. Да, все IP-адреса являются публичными. Но тогда какой из 4 миллиардов IP-адресов является правильным? Я считаю, что в рамках этого обсуждения IP-адрес можно считать скрытым, если нет способа определить IP-адрес(а) сервера, на котором размещён конкретный форум Discourse (то есть функция f(h) не определена, где функция f возвращает истинный IP-адрес для хоста).
При условии:
- вы не Cloudflare
- форум не раскрывает свой IP через исходящий трафик, например, через oneboxing, заголовки исходящей почты или любым другим способом
Однако я согласен с вами, что термин «скрыт» вводит в заблуждение и является некорректным. Вероятно, лучше использовать слово «неизвестен».
Это зависит от типа DDoS-атаки. Для атаки на уровне приложений это может быть верно, но также сложно реализовать, так как потребуется某种形式的 rate limiting с инспекцией запросов. Однако для атаки на сетевом уровне (просто затопление трафика через усиление или SYN-атаку) это может не сработать. Кроме того, по сути вы говорите: «это не проблема, если вы можете её смягчить», что довольно очевидно, но при этом сложно и/или дорого.
Это также зависит от типа атаки. Атака на уровне приложений должна быть адаптирована под Discourse, но, например, может запускать тяжёлые запросы, такие как поиск, чтобы перегрузить серверы приложений, тогда как атака на сетевом уровне может быть более универсальной, требовать большего объёма трафика и просто забивать nginx или сеть VPS.