關於短信消耗攻擊的認識以及防護

咱們都知道門戶網站的登陸好多都須要驗證碼，將發送給你的短信驗證碼，輸入到頁面才能完成登陸或者註冊，但是短信是要錢的，都是老闆花錢賣的，如何防止惡意的人無休止，請求驗證碼呢？若是老闆短信費一天耗盡他將大爲惱怒：我衝的錢一天就沒了怎麼沒見一我的註冊成功。當此之時做爲項目負責人的你該如何是好？

來先看一個簡單的，

固然這是一個假手機號碼，而後看一下請求：

崩潰，我不知道這個網站是怎麼活到如今的。真是個奇蹟，而且js沒有壓縮。不過還好我試了一下他們用ng對ip單位時間內的請求作了限制。可這對ddos攻擊毫無招架之力，徹底有被耗盡的風險。

經過上面的例子會對短信耗盡攻擊有所瞭解，怎麼防止呢？

這裏就是關鍵要區分是人類發送的請求，仍是電腦自動發送的請求，這就引入了驗證碼，例如：

在發送短信驗證碼之前，要先填寫這種驗證碼，用來區分是人仍是電腦操做。這是你們常見的。

 

第一種解決方案：輸入的驗證碼和你發送的短信驗證碼相關，就是你獲取請求體裏面必須帶上驗證碼的內容才能獲取到短信驗證碼：

這樣安全嗎。實不相瞞，我大學的專業是：「數字圖像處理」，曾經作過汽車拍照識別。經過去除噪聲點，圖像銳化等，是能夠自動識別出來的。網上不少這樣的工具，因此這樣並非很是安全。

下一種解決方案比上一個好一點：

點擊獲取短信驗證碼會有先出現這樣的彈框：

而後會產生下面的請求：

這裏面會有疑惑信息，不過你能夠多試兩次分析出疑惑信息，獲得答案的，其實作到這裏已經不錯了。其餘的解決方案都是這樣的基礎上的演化，都能區分是人仍是電腦。