验证码被恶意狂刷,有什么办法反击,求指教

2016-10-19 20:11:02 +08:00
 hayao650

网站的短信验证码被恶意刷,请网络安全方面的前辈,指教一下,有什么办法能反击? 攻击者的 ip 是动态的,估计是做了什么代理,手机号也是变动的 现在能做的就是限制访问频率 http 头部信息模拟的是 IE 浏览器,无法通过限制特定的头部信息来丢掉请求

10127 次点击
所在节点    问与答
31 条回复
jswh
2016-10-20 16:06:05 +08:00
反过来发短信
046569
2016-10-20 16:21:44 +08:00
经常遇到这种问题,大致思路楼上都说过了.
除了验证码以外,我更趋向于在前端增加 WAF ,简单有效.能识别出绝大部分攻击者.
关键在于认真分析日志,搞清楚对方的攻击手段和特点.比如对方总共使用多少代理?平均每个代理请求几次?对方攻击的时间段趋向于白天还是夜晚?如果这些问题你都了然于胸,上 WAF 吧.
lianxiaoyi
2016-10-20 16:29:04 +08:00
最简单的。。。。。别做限制 。。。。。当你监测到某个 ip 发送 10 条信息之后。。。。你还是返回正常 但是不发送短信了。。。。造成一种视觉错误。。。。
zpfhbyx
2016-10-20 18:00:47 +08:00
@lianxiaoyi 。。我之前也是这么干的- -。
hayao650
2016-10-20 18:43:20 +08:00
@lianxiaoyi 他的 ip 数量太多了,我观察了两天,第一天有 200 多,第二天将近 400 ,一直在更新
lslqtz
2016-10-21 01:03:29 +08:00
@hayao650 用 WAF 吧。
可以给他 301 跳转到百度(
lslqtz
2016-10-21 01:03:55 +08:00
对短信接口加 Token UA 验证
hayao650
2016-10-21 09:12:39 +08:00
@lslqtz 是登陆注册接口,没办法加 token 吧
lslqtz
2016-10-21 10:13:40 +08:00
@hayao650 在需要用的页面给用户生成 token 加进去(用 IP 、时间等防止多 IP 刷)之类的。。非得说防刷,也可以判断 IP 的来源地区之类的,网上有几个我记得可以查是不是代理。
lianxiaoyi
2016-10-21 12:05:29 +08:00
@zpfhbyx 这种办法其实很好。。。。。我就遇到过一个 sb 在那提交了一个多小时。。。。。
ssyz1988
2017-07-06 18:13:41 +08:00
@lianxiaoyi 但是楼主碰到的并不是一个固定的 ip

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/313961

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX