2018-04-27 00:00:00 來源: 點擊:6768 喜歡:0
短信炸彈形成的原因是因為非授權的動態短信獲取,而由于業務的需要(如注冊、好友邀請等),在使用動態短信業務前系統并不能建立業務關聯。因此,在未建立業務關聯的情況下,需要進一步嚴格限制保證業務使用的安全性。
針對短信炸彈問題,建議綜合采用:增加圖片驗證碼、單IP請求次數限制、限制發送時長限制3個措施,防護“動態短信獲取”功能與業務接口。
措施描述以及針對性解決的問題
1、使用安全圖片驗證碼:防止通過自動化工具進行攻擊請求
2、單IP的請求次數限定:防止攻擊者對服務器進行大量無效請求(在圖片驗證碼未破解的情況下,自動化工具形成錯誤請求),增加服務器負擔
3、單用戶動態短信請求間隔時長限制:防止對單個用戶形成手工攻擊;防止圖片驗證碼失效后對用戶形成大量攻擊。
措施一:使用安全的圖片驗證碼
惡意攻擊者采用自動化工具,調用“動態短信獲取”接口進行動態短信發送,究其原因是攻擊者可以自動對接口進行大量調用。
采用圖片驗證碼可有效防止工具自動化調用,即當用戶進行“獲取動態短信”操作前,彈出圖片驗證碼,要求用戶輸入驗證碼后,服務器端再發送動態短信到用戶手機上,該方法可有效解決被利用實施炸彈攻擊的問題。
安全的圖片驗證碼必須滿足:
生成過程安全:圖片驗證碼必須在服務器端進行產生與校驗;
使用過程安全:單次有效,且以用戶的驗證請求為準;
驗證碼自身安全:不易被識別工具識別,能有效防止暴力破解。
措施二:單IP的請求次數限定
使用了圖片驗證碼后,能防止攻擊者有效進行“動態短信”功能的自動化調用;但若攻擊者忽略圖片驗證碼驗證錯誤的情況,大量執行請求會給服務器帶來額外負擔,影響業務使用。建議在服務器端限制單個IP在單位時間內的請求次數,一旦用戶請求次數(包括失敗請求次數)超出設定的閾值,則暫停對該IP一段時間的請求;若情節特別嚴重,可以將IP加入黑名單,禁止該IP的訪問請求。該措施能限制一個IP地址的大量請求,避免攻擊者通過同一個IP對大量用戶進行攻擊,增加了攻擊難度,保障了業務的正常開展。
該閾值設定可依據業務的不同執行設定,一般情況下建議不超過200個/分鐘。
措施三: 單用戶動態短信請求間隔時長限制
為進一步優化業務正常使用,建議采用限制重復發送動態短信的間隔時長,即當單個用戶請求發送一次動態短信之后,服務器端鎖定如:30秒后,才能進行第二次動態短信請求。該功能可進一步保障用戶體驗,并避免包含手工攻擊惡意發送垃圾驗證短信。
嘉之元云通信為客戶提短信驗證碼、短信營銷、國際短信、智能外呼機器人等服務!其在互聯網行業深耕近10年,在驗證碼短信、營銷短信、國際短信、智能語音機器人方面與業內資深企業強強聯合,產品服務水平一直處于行業領先水平,深受廣大客戶的認可,嘉之元云通信將一如既往的為您提供一流的服務。
上一篇:駕校通知短信內容范文
下一篇:智能電話機器人--金融股票行業話術案例