感觉“工作量机制证明”甚至在包括登录验证、抢购、防业务层DDOS等方面上挺有用哈

xy.

1. 服务器验证结果是否正确就很容易了，计算量非常少

复制代码

少在哪

xy.

Sly 发表于 2025-10-3 16:06
那种连业务级别都不涉及的DDOS，可能档次低了点。

涉及业务的一般叫 cc, 相对来说档次比较低

xy.

Sly 发表于 2025-10-3 16:10
多在哪

我直接发随机数据, 计算量接近 0, 你服务端至少要验一次吧?

xy.

SSL/TLS 早都是硬件加速或者 SSL offloading, 本来就没有计算负担
你说的这些都和 DDoS 防御是两个不同维度, 流程还没走到你考虑的这些东西呢

xy.

Sly 发表于 2025-10-3 16:31
我说的这些本来就是应对业务层面的暴力攻击的，比如暴力破解Wi-Fi密码，暴力抢购脚本等等。

至于一下子1 ...

啊?

xy.

Sly 发表于 2025-10-3 16:38
对的，一开始没有说清楚，在和你们的讨论过程中，也可以不断完善这个算法的目的。

这句话要结合全文来看 ...

一个是服务端计算成本
一个是用户体验问题: 我做各种限流, 风控之类的初衷一定是想服务正常请求的, 如果不想服务, 我直接拔电就完事了. 这些东西都是很容易并行化的, 专业攻击者可以用大量设备摊平计算成本, 最终对于普通用户的伤害一定是大于等于专业攻击者的.

xy.

Sly 发表于 2025-10-3 17:22
对普通用户也没啥伤害吧，跑工作量也是客户端程序后台跑，哪怕是移动设备，用户输入信息的时间也跑完了。 ...

普通用户手里的算力不可能大于专业攻击者

xy.

Sly 发表于 2025-10-3 17:27
参考楼上。

你限流的目的是为了让普通用户提交的请求能过, 这样一搞, 普通用户和专业攻击者之间的差异比没任何手段还大
很难理解吗这个

xy.

Sly 发表于 2025-10-3 17:30
这就跟游戏现在虚拟化反作弊一样

碰到真正的高手，没办法搞定么。

假设某个 SKU 100 个库存
裸的服务, 普通用户买到 20 个, 黑产买到 80 个
上了手段之后普通用户挂零, 黑产买到 100 个, 代价是几毛钱电费
如果这样没问题 ok 那你无敌了