关于短信 api 接口被刷有什么防御办法吗？

一般来说完整手机号码应该是找回密码的人输入的吧，相当于一个检验，如果手机号码不在数据库中也就不会发送短信了；

同一 IP 调用短信接口太多次就屏蔽 24 小时；

增加复杂的验证码 提高攻击者成本；

当天整个网站找回密码次数太多之后，可以改成由手机号码持有人发送指定内容短信到端口；

@oh 关键在于对方有网站的部分用户数据手机号..

10 分钟超过 3 次就下发语音验证。

如果对方是报复，临时关闭短信找回密码功能，由人工客服介入处理。

如果号码都是对方注册的，只是为了消耗你们的短信费，那号码全部拉黑。

其它的参考上面后两条。

@mozutaba 下发语音岂不是更骚扰用户，本来收个短信就算了，现在变成电话一直响了。

关注微信找回密码……

@oh 发了语音就不再提醒了。

对方已经是在模拟完全真实的用户行为了，没法防的。

方法：增加发短信的随机验证码吧。

加个复杂的验证码？

@luo362722353 这个可以解决哎，学腾讯，由客户发短信。

哥们儿，你说的是这个吧？

@odirus

补充：

下载地址： https://app.yuanzidan.wang/ （查看网页源码即可找到下载地址）

授权码激活地址： http://www.yuanzidan.wang:99/

---------------------------------------------------------------------------------------------------

估计你是被这波人盯上了，这个 APP 就是到处分析别人的短信接口，然后放在自己的 APP 里面，卖授权码给别人，每个人下载之后都可以随便发短信，这就是所谓的 “分布式轰炸”

建议大家调戏一下这个网站，服务器在国内。

@odirus

再次补充，网站注册信息查询

https://cloud.baidu.com/product/bcd/whois.html?domain=yuanzidan.wang&track=cp:aladdin%7Ckw:23398

这个人留了自己的电话号码的，要不前去骚扰一下？

做这种事情，也不知道卖一个隐私保护，哎

简单点就上验证码

图片验证码走起呗 ~

嗯，看到过同一用户要求验证码次数过多的时候，要填图片验证码，应该是一个合适的实践。

因为要从正常用户的角度考虑，不能只从技术层面，还是要考虑产品设计。 #1 #4 #5 楼说的不太认同

文字短信的话防御无非就手机号，客户端相对唯一标识（ IP ），验证码这些。如果人家模拟真实用户行为，没有什么太好的办法，但这个验证码是可以判断机器人的，比如 google 的 reCaptcha

申请同一个手机号的验证码，同一天超过 2 次，从第三次开始需要输入验证码。验证码做好点就行了。这是最基本、最快捷的方法。当然，如果你的用户量大，如腾讯，就可以要求用户发短信到你的号码的方式。