网站注册短信接口遭到短信轰炸机轰炸处理方案

时间：4年前   作者：庞顺龙   浏览：1208   [站内原创，转载请注明出处]

问题：

1、  请求量非常大，并发能达到4-10个/秒。

2、  调用了大量的号码频繁请求，每个号码基本上请求了几百次。

分析：

1、  明确攻击者仅仅是通过注册页面进行攻击，或者是攻破了程序，直接调用你们的程序来发送（可以将注册页面的注册验证功能暂时去掉，再来观察）

2、  程序逻辑是否设置了失败重试的功能，如有的话，请取消（失败重试在任何情况下都没什么意义）。

办法：

在排除了程序被攻破的前提下，修改用户名密码，然后作如下防范。

1、  限定每个手机号码重试的时间间隔在120秒以上

2、  限定每个ip每天提交的次数

3、  限定每个ip两次提交的时间间隔

4、  增加足够复杂的图片验证

这些都做到位之后，基本就没问题了。

由庞顺龙最后编辑于：4年前

内容均为作者独立观点，不代表八零IT人立场，如涉及侵权，请及时告知。