网站被恶意攻打

网站被恶意攻击
我们网站注册需要发手机验证码，现在被恶意程序不断攻击，不断利用接口发送短信，一天发了一千条。

问题：如何识别正常用户和程序访问
------解决思路----------------------
处理请求的时候做验证，比如带一个特定的验证码，或者参数，防止程序自动请求
------解决思路----------------------
 CAPTCHA的目的是区分计算机和人类的一种程序算法，是一种区分用户是计算机和人的计算程序，这种程序必须能生成并评价人类能很容易通过但计算机却通不过的测试。

加驗證碼，複雜點的，就不會被程序調用到。

另外不可以限制同一號碼一天只能發三次嗎？