客户端
防爆破存在一种通用的应对方法,即工作量证明(Proof of Work)。工作量证明的原理并不繁杂:在发起请求之前,要求
客户端先计算一个非常耗费CPU资源的值,例如要找出某个哈希值,且这个哈希值的前六位必须全为0。很多人可能知晓它在区块链方面的应用,像
比特币挖矿就是如此。实际上,工作量证明的核心思路也能够用于应对各类爆破式攻击。
客户端在发送请求之前必须先进行一段计算,而服务端仅需简单验证即可。这就好比是说:朋友,你想进来没问题,但得先把这一大堆数字计算完,然后告诉我结果。对用户而言,这个计算过程会消耗CPU、时间以及电量,这就产生了成本。然而服务端的验证速度很快,只需简单计算一次哈希就能判断出用户计算得是否正确。如此一来,正常用户虽然会多花费几百毫秒的时间,但还在可接受的范围内;可要是攻击者妄图一次性发送数百万次请求,那攻击者就必须老老实实地完成这大量的计算,成本会瞬间剧增。工作量证明的优点:当然,它也并非无所不能。要是有人财大气粗且不在乎消耗电量,仍然能够强行应对。所以,在实际应用当中,通常还会结合限速、IP封禁、验证码、多因素认证等其他策略。总结工作量证明非常适用于那些容易遭受批量尝试的接口。如果遇到暴力轰炸或者穷举攻击,不妨尝试一下这种方法。虽然用户会多花费一些时间,但能够有效降低爆破的成功率。毕竟,计算一些哈希值,总好过被无限制地轰炸。下面是一个带有注释的单文件示例代码,展示了如何在Deno环境下运用工作量证明(Proof of Work)来抵御爆破式攻击。其中使用了node:crypto来计算SHA - 256,这些哈希计算逻辑在Node.
JS中也能够直接复用。使用方式:这样,一份代码就能让您在Deno中直接体验工作量证明的原理和效果,并且其核心的哈希运算逻辑在Node.
JS中也能无缝使用。
