Как тестировать DoS (Denial of Service) уязвимости?

DoS тестируем не саму атаку, а защиты от неё. Проверяем: rate limiting работает (429 при превышении), large request body — ограничивается (413 или обрезается), slowloris защита (таймаут на медленные запросы), regex DoS (ReDoS) — сложный regex в валидации не вешает CPU, ZIP bomb защита (не распаковываем огромные архивы). Resource exhaustion: исчерпание DB connections, thread pool. В performance тестировании: при spike нагрузке система degrade gracefully, не падает совсем. Circuit breaker работает.