感觉“工作量机制证明”甚至在包括登录验证、抢购、防业务层DDOS等方面上挺有用哈

Sly · 发表于 2025-10-3 17:27

xy. 发表于 2025-10-3 17:23
普通用户手里的算力不可能大于专业攻击者

参考楼上。

mustleave · 发表于 2025-10-3 17:29

Sly 发表于 2025-10-3 17:25
参考挖矿的证明

就是为了DDOS攻击少干涉到业务层面，而变成纯粹的流量攻击，那就是传统的防护方式了（这 ...

如果真用挖矿的证明, 计算量已经不小而且可以说是非常大了.
除非能做到接近于硬件加速的计算结果验证要不然这个方案行不通, 没法高效快速的甄别虚假计算结果.

xy. · 发表于 2025-10-3 17:29

Sly 发表于 2025-10-3 17:27
参考楼上。

你限流的目的是为了让普通用户提交的请求能过, 这样一搞, 普通用户和专业攻击者之间的差异比没任何手段还大
很难理解吗这个

Sly · 发表于 2025-10-3 17:30

xy. 发表于 2025-10-3 17:29
你限流的目的是为了让普通用户提交的请求能过, 这样一搞, 普通用户和专业攻击者之间的差异比没任何手段还 ...

这就跟游戏现在虚拟化反作弊一样

碰到真正的高手，没办法搞定么。

推高破解成本和攻击成本而已。

checker · 发表于 2025-10-3 17:31

呃，很多地方已经在用这种方案了呀，举个最常见的例子就是 Cloudflare 的验证码和五秒盾。但是要注意 PoW 只是其中的一小部分，现代的验证码也依靠 IP 信用、混淆和环境检测。用户验证是没有银弹的。

Sly · 发表于 2025-10-3 17:31

mustleave 发表于 2025-10-3 17:29
如果真用挖矿的证明, 计算量已经不小而且可以说是非常大了.
除非能做到接近于硬件加速的计算结果验证要不 ...

还好吧相关的hash算法挺多的

灵活度可以掌控。

xy. · 发表于 2025-10-3 17:32

Sly 发表于 2025-10-3 17:30
这就跟游戏现在虚拟化反作弊一样

碰到真正的高手，没办法搞定么。

假设某个 SKU 100 个库存
裸的服务, 普通用户买到 20 个, 黑产买到 80 个
上了手段之后普通用户挂零, 黑产买到 100 个, 代价是几毛钱电费
如果这样没问题 ok 那你无敌了

Sly · 发表于 2025-10-3 17:34

xy. 发表于 2025-10-3 17:32
假设某个 SKU 100 个库存
裸的服务, 普通用户买到 20 个, 黑产买到 80 个
上了手段之后普通用户挂零, 黑 ...

你举的例子可能过于极端

这就和讨论游戏，结果默认里面还是全是外挂一样。

现在都没有完全出现这个现象，加了这个思路未必会加重

oolmfoo · 发表于 2025-10-3 18:12

POW只能增加攻擊的成本，從而減低攻擊率。
個人認為只能在登入之類先後次序沒有關係的地方使用。
搶購中用POW只會造成不公平，並失去作用。

账号		自动登录	找回密码
密码			加入我们

[软件] 感觉“工作量机制证明”甚至在包括登录验证、抢购、防业务层DDOS等方面上挺有用哈