云時代，通過對接短信API發(fā)送通知、提醒、驗證、營銷、推廣短信是大多數(shù)企業(yè)不可或缺的需求，短信API極大的方便了企業(yè)和用戶的連接。

短信驗證碼作為APP和網(wǎng)站最基礎(chǔ)的需求，時常會被黑客惡意利用和進(jìn)行短信轟炸。具體出現(xiàn)的狀況，請看下面的截圖（圖片來自互聯(lián)網(wǎng)）

如果短信驗證碼接口和頁面不做任何限制，黑客很容易利用一些惡意的短信轟炸軟件對接口進(jìn)行攻擊，不停的對同一個號碼或者N個號碼重復(fù)發(fā)送驗證碼短信。

短信驗證碼被攻擊，不僅會對用戶造成騷擾，引起投訴，更會浪費(fèi)你的短信余額，降低品牌形象。

?

如何防范短信驗證碼被攻擊？

一、圖形驗證碼

大部分短信轟炸腳本基于網(wǎng)頁爬蟲，圖形驗證碼可以簡單粗暴的防御這類刷碼行為。

在短信請求之前，讓用戶輸入圖形驗證碼，比對后發(fā)起API請求即可，如以下截圖:

?

二、記錄、比對IP和手機(jī)號碼，做頻率限制，過濾空IP頭

用戶請求驗證碼時，記錄請求的IP和手機(jī)號碼，并對發(fā)送頻率做限制，例如每分鐘/單個IP/單個手機(jī)號僅能請求一次。如果腳本無法獲取用戶的真實(shí)IP，請直接過濾這類請求。

?

三、在 SUBMAIL 設(shè)置驗證碼模板的單日請求上限

設(shè)置驗證碼模板的單日請求上限，設(shè)置一個合適的數(shù)值，這樣每個手機(jī)號碼單日超過這個上限的數(shù)量的驗證碼請求會被SUBMAIL直接過濾。要設(shè)置模單日請求上限，設(shè)置方法請看下圖：

?

1：前往模板管理頁面，找到驗證碼模板，并單擊下圖中紅色箭頭示意的按鈕：

2：在彈出的邊框中輸入一個合適的數(shù)值，單擊保存按鈕即可。如下圖中設(shè)置了每個手機(jī)號單日的請求上線為10次，超過10次的請求會被直接過濾

?

四、設(shè)置 IP 白名單

前往 SUBMAIL -> 短信->?創(chuàng)建/管理 APPID頁面，設(shè)置IP白名單，保護(hù)您的APPID不被非法劫持后濫用，具體設(shè)置方法如下：

1：單擊 APPID 中 IP 白名單欄目，單擊右側(cè)的編輯圖標(biāo)，進(jìn)入編輯模板，如下圖示意：

2：進(jìn)入編輯模式后，輸入您的請求IP，多個IP請使用半角逗號分隔，前后不需要空格。另外，如果您需要使用該APPID在SUBMAIL進(jìn)行在線發(fā)送，您需要將121.41.28.2這臺隊列服務(wù)器IP包含進(jìn)去，因為在線發(fā)送同樣會對請求IP作鑒權(quán)，據(jù)圖操作如下圖：

?

五、SUBMAIL 主動防御機(jī)制

如上述3種方法還不能完全防御，您也不用擔(dān)心，因為SUBMAIL為短信驗證碼接口植入了主動防御的機(jī)制，提供了更強(qiáng)大的保護(hù)措施。SUBMAIL 主動防御機(jī)制會在以下3種情況中被觸發(fā)：

1：空號率觸發(fā)安全機(jī)制：當(dāng)用戶請求發(fā)送的手機(jī)號碼空號率達(dá)到一定的百分比之后，觸發(fā)防御機(jī)制；

2：手機(jī)號碼高頻率請求觸發(fā)安全機(jī)制：當(dāng)單個手機(jī)號高頻率的請求驗證碼時，到達(dá)一定比例，觸發(fā)防御機(jī)制；

3：歷史黑名單命中率觸發(fā)安全機(jī)制：當(dāng)命中歷史黑名單到達(dá)一定比例時，觸發(fā)防御機(jī)制；

?

SUBMAIL 主動防御機(jī)制被觸發(fā)后，將會自動設(shè)置合適的安全級別，防御惡意請求。例如非常請求僅能獲取3次驗證碼，如超過3次，將會被列入臨時保護(hù)黑名單。

?

?

更多行業(yè)咨詢，請關(guān)注我們的微信公眾號，我們不定期推送您感興趣的文章

?

您也可以關(guān)注我們的官方微信公眾號（ID：ctoutiao），給您更多好看的內(nèi)容。