CloudFlare的I'm Under Attack Mode（IUAM）非常简单。当站点受到应用层（第7层）分布式拒绝服务（DDoS）攻击时，该模式将向访问者返回质询页面。这个挑战需要访问者的浏览器来回答一个需要一点时间来计算的数学问题。一旦回答成功，浏览器就可以请求cookie，并且不会再次被质询。2+2=惊人的有效性IUAM在阻止第7层攻击方面取得了令人难以置信的成功，但自从它首次发布以来，它就有了一个肮脏的小秘密。虽然我们认为浏览器必须解决的数学问题在计算上是复杂的，但实际上它非常简单：字面上讲就是把两个单位数的整数相加。

在过去的6个月里，有几个人写信给我们，让我们知道这个"关键漏洞"。他们解释说，攻击者很容易对数学问题进行逆向工程，并创建可以绕过保护的恶意软件。在公司内部，我们打赌某个坏人要花多长时间才能真正做到。我的钱是"从不"好消息/坏消息：我输了当李和我在2004年创建"蜜罐计划"时，我们花了数百个工程时间设计陷阱，这些陷阱非常随机，很难识别。即便如此，我还是暗自担心，一个有进取心的坏蛋会发现陷阱中的某种模式，并能够避开它们。我们仔细观察了9年，从来没有人花时间这么做。这很好，一方面，因为这意味着"蜜罐计划"一直在跟踪攻击者，但另一方面，这意味着它永远不会给他们带来足够的麻烦，他们会花大量的工程精力来击败我们。我和李学到了一个教训：不要过早过度设计。这让我回到了IUAM。今天早上，我们从ESET的大人物那里得到消息，他们检测到了专门用来绕过CloudFlare的IUAM的恶意软件。叫做OutFlare——我们有以我们的名字命名的恶意软件多酷啊！！--恶意软件读取我们的IUAM页面，找到简单的数学问题，并计算答案。这几乎不是什么火箭科学，但事实上，对于整个CloudFlare团队来说，我们成功地阻止了攻击者，至少其中一人花了时间对这种保护进行了反向工程，这让整个CloudFlare团队非常激动。工作证明与我不同的是，CloudFlare团队中的一些其他工程师怀疑这一天会到来。因此，他们在等待时机，编写代码来增加IUAM挑战的复杂性。恶意软件会将数学公式从页面上拉出来，并在发回之前计算出答案。解决方案很简单：混淆等式，并使用其他一些技巧，如果不实际呈现Javascript，则很难找到答案。今天，在得知IUAM的简单版本被OutFlare的恶意软件逆向工程后，我们推了一个更新。如果您使用的是IUAM，您无需做任何事情来利用新的保护，我们已经更新了保护，使OutFlare恶意软件过时。

今后，如果这个计划被破解，我们有计划。具体来说，我们有一个IUAM版本，它依赖于一个被称为"工作证明"问题的数学领域。这些答案很难计算，但很容易验证。比特币（Bitcoin）是最近的一个例子，它吸引了许多科技界人士的想象力。电子货币需要大量的计算时间来找到问题的答案，但是一旦找到每个答案（"硬币"）就很容易验证。以比特币为例，随着时间的推移，问题的难度会向上调整，以补偿计算能力的增加，并控制货币通胀。当我们检测到针对CloudFlare客户的第7层攻击时，我们可以使用相同的前提来增加攻击者需要做的"工作"。军备竞赛？赌云在这种情况下，总是存在这样一个问题：编写恶意软件的攻击者和提供保护的好人之间是否会有军备竞赛。在这种情况下可能会有，但我喜欢我们在这样一场战争中的胜算。正如今天的示例所示，由于CloudFlare是作为一项服务部署的，而且我们可以实时更新系统以适应新的威胁，因此我们具有不对称的优势。可怜的恶意软件作家现在不得不反向工程新的IUAM保护，并推动所有的机器人代码更改。如果他想出什么有效的办法，我们会立刻重新适应。

这种军备竞赛的历史表明，你应该押注在云上才能获胜。在垃圾邮件大战中，垃圾邮件发送者和反垃圾邮件软件制造商陷入了一场军备竞赛，从90年代中期到2000年代中期，这两个公司似乎都不会获胜。然后，事情发生了变化：MXLogic、MessageLabs、CloudMark和Postini等新服务开始提供反垃圾邮件服务，而不是软件，而是"云"服务。这些服务不仅比以前的反垃圾邮件软件或设备更易于安装和管理，而且还可以实时适应垃圾邮件发送者。结果是，如今这些服务在很大程度上赢得了垃圾邮件大战。还有一件事还有一点关于外挂。虽然恶意软件能够读取并通过简单的数学挑战，但这只是IUAM的一个保护层。在服务器端，CloudFlare仍然跟踪所有请求，并且对于创建了统计上较高连接数的设备，我们自动施加速率限制和其他缓解技术。换句话说，即使没有我们所做的修复，我们的客户也能免受攻击。再次感谢我们在ESET的朋友提醒我们注意新的OutFlare恶意软件。我们将密切关注任何新的变体，并且，当它们不可避免地出现时，我们将继续进行调整，以确保所有CloudFlare客户始终领先于网络最恶劣的威胁。