app注册时手机收到验证码,黑客是不是会攻击,费大量短信流量,怎么解决?难道要先注册,输入图片验证码,然后再绑定手机。
其实这个担心有可能,但可能性并不高,因为一般在做短信验证码服务时,一定会加一个1分钟或者更久的倒计时,这个在服务器段和客户端同时都会做
然后同一号码在5分钟之内不允许接收超过3次内容相似度90%的内容,验证码符合这个限制。
图片验证码+短信验证码,可行,如果你完全不考虑用户感受的话!!
顺便打下广告,自家品牌,可以试试 SUBMAIL 的短信服务 http://submail.cn/chs
还有记得验证码要有干扰,不然一样的可以绕过(canvas)
每次发送验证码之前,必须验证一次图片验证码,这样可以防止批量刷短信
惯例上短信发送肯定是要卡频率的,同一Session、IP、手机号码的发送频率都要有合理的间隔。要不然就会真的被简单攻击了。唯一要注意的是:前台并行、随机、无规律的发送请求,在后台最好使用队列机制串行化,保证递交到短信发送商的API请求,符合应有的频率限制——这个限制可能是明文要求的(一般以QPS,request per second为单位),也可能是约定俗成的。
但是真正麻烦的问题在于:这些限制对于骇客来说,只要资源足够,就都是可以轻易绕过的。(Session客户端随便丢随便换,IP洋葱网络上要多少有多少,手机号码随便编,图形验证码也不过是一层窗户纸,第三方服务几分钱就破一个)
这样的后果就是:不断发出有效的短信请求,对骇客来说并不是什么困难。如果你的后台模型是无特殊处理的并行模型,那就仍然会炸QPS迅速耗光配额。如果后台是串行的,那么就会把队列挤满,让正常用户的短信验证请求排不上队。这个后果仍然是灾难性的。
如果被盯上,就基本上无法逃脱。这正是DDoS的可怕之处。
僵尸网络以及衍生而来的DDoS,本质上都是一种集群欺负单机的不对等竞争。如果说以前寻找漏洞进入系统的骇客,还剩余一点黑客钻研技术的遗风……那么现在的骇客就纯属在黑色的世界中,无脑的进行资源竞争和军备竞赛,配不上称为什么高手,人人得以诛之。
DDoS,人性中欺凌软弱的卑劣,网络上挥之不去的毒瘤!
注:@SUBMAIL创邮 的短信验证码我没有用过(没有公司资质用不上)。其他的短信提供商我知道还有:聚合数据、LeanCloud、容联云,以及老派的各种“××短信通”等。