短信轰炸的原理及解决思路
⼤部分的⽹站和移动应⽤在注册时使⽤⼿机号码作为平台账号,利⽤短信验证来鉴别⼿机号是否属于⽤户本⼈。因此,我们在各类平台的注册场景经常见到短信验证。然⽽,这种验证⼯具背后却暗藏许多安全隐患。其中最主要的⼀种就是⿊产利⽤各类平台的短信验证接⼝进⾏短信轰炸。
短信轰炸造成短信通道阻塞、企业品牌形象受损、短信费⽤被⼤量恶意消耗等负⾯影响,若被⽤户投诉,还将导致短信接⼝封禁,直接影响⽹站正常业务。
什么是短信轰炸?
短信轰炸是通过各平台获取短信验证码,达到恶意发送垃圾短信的⼯具。这种“短信”主要是通过特制的软件不断往⼀个⼿机号码发重复的垃圾短信,以达到骚扰⽬标⽤户的效果。⼀个强⼤的能做到每秒发送上百条短信。
短信轰炸的原理是什么?
l 恶意攻击者在前端页⾯输⼊被攻击者的⼿机号
l 短信轰炸后台服务器,将该⼿机号与互联⽹收集的可不需要经过认证即可发送动态短信的URL进⾏组合,形成可发送动态短信的URL请求l 通过后台请求页⾯,伪造⽤户的请求发给不同的业务服务器
l 业务服务器收到该请求后,发送动态短信到被攻击⽤户的⼿机上
短信轰炸的⽅式是什么?怎样举报垃圾短信
短信轰炸是利⽤短信接⼝的攻击⽅式,针对某个⽹站短信接⼝集中恶意攻击,或者利⽤调⽤接⼝。
解决短信轰炸的主要⽅式:
1.针对单个⼿机号码每天限定短信发送次数
解决思路:
每个⼿机号码每天只允许发送固定数量的短信,那么短信接⼝就不会被滥⽤了。
实际效果:
的⼯作原理是攻击某个⼿机号时,攻击程序同时请求⽆数的短信接⼝,绝⼤部分情况下,每个⽹站的接⼝都只请求⼀两次,并不会触发短信发送数量上限。因此这种防护⽅式并没有什么效果,对于⽹站来说,看到的仍然是⽆数的⼿机号,每个都发送⼀两条短信,但是⽆法区分,哪些⼿机号是真正的⽤户,哪些是被攻击的号码。
2.针对来源ip限制接⼝请求次数或频率
解决思路:
限定单个ip地址的请求,即使⼀次攻击多个号码,也可以有效识别。
实际效果:
获取⼀个ip实在太廉价了,普通家⽤宽带都可以分分钟通过断开再拨号获取多个ip。⽹上各种提供代理ip的⽹站上都有⽆数的代理ip可以使⽤,甚⾄淘宝上还有提供随时拨号的动态vps服务器。
3.每条短信发送之前都加上验证码校验
提供正确的验证码,才,彻底解决脚本问题
实际效果:
普普通通的验证码,通过OCR识别的⽅式可以瞬间转成⽂本。稍复杂的验证码也可通过OCR+简单机器学习破解。
注册场景作为每个平台的⼊⼝,是⾮常核⼼的交互场景。保障注册场景的交互安全与交互体验也是每
个平台需要不断思考和优化的课题。实际上,各⼤运营商也专门规定短信验证码必须加上图形验证码的保护。但是传统的图形验证已经不再安全,同时⼜⾮常影响⽤户的交互体验。⽹站与应⽤管理者,需要探寻更佳优质的解决⽅案。⽽极验的基于深度学习验证安全服务⽆疑是当下最合适的⼀种,⽬前已应⽤于包括⽃鱼YV、airbnb、魅族等⼆⼗万家⽹站。