RTCPeerConnection и защита от наводнений - сколько кандидатов ICE в норме

Я написал сервер сигнализации для платформы чата веб-камеры, которая также функционирует как сервер чата. Теперь я хочу принять меры против наводнений.

Я планирую сначала реализовать это в серверном приложении, а затем попытаться каким-то образом добавить запрещенные IP-адреса в брандмауэр Windows - я еще не думал об этом до конца, но это мое начало. Пожалуйста, предупредите меня, если это глупо.

Поэтому я подумываю применить протокол типа "если пользователь отправляет 100 сообщений в течение 50 секунд, он залит и забанен" (javascript на стороне клиента обычно предотвращает это, но я не верю, что пользователь не изменит его).

Однако пользователь также отправляет кандидатов ICE на сервер для установления RTCPeerConnection, и он не контролирует их частоту или общее количество. Это неизвестный фактор в моем уравнении. Я не хочу случайно забанить людей со 100 кандидатами ICE за их RTCPeerConnection.

Я немного протестировал чат в своей веб-камере и получил около 40 кандидатов в ICE ранее, но сколько я должен ожидать от других пользователей, чтобы я мог отрегулировать свое состояние защиты от наводнений?