IP 地址过滤器在 http 安全连接“之前”可以防止 DDoS 攻击吗？

防范 DDoS 攻击的一种技术是监控来自特定 IP 地址的每秒请求数。当然，IP 地址可能是假的，但我们假设这不是问题。

例如，安装在 Tomcat 上的 Web 应用程序可以配置为仅使用安全的 http 连接（即 https）。我不是系统管理员专家，但我相信，在发生 DDoS 攻击的情况下，大量的 https 连接尝试可能会导致 100% 的 CPU 峰值。

我的问题是：

1. 对 https 的 DDoS 攻击是否会导致长时间 100% 的 CPU 峰值？

2. 是否可以实现一个软件过滤器来在 SSL 协商开始之前监控每秒的请求数，以避免长时间的 100% CPU 峰值？

3. 如果对 2 的回答是肯定的，那么可以将其集成到 Tomcat 中吗？如果可以，该怎么做？或者有更好的解决方案吗？

谢谢。

编辑

如果对 2 的回答是肯定的（但不在 Tomcat 中），有哪些解决方案可用？