V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
cedared
V2EX  ›  问与答

有人不断的捅我们的短信接口,该怎么办

  •  
  •   cedared · 2015-10-14 11:15:24 +08:00 · 14211 次点击
    这是一个创建于 3313 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前几天我们产品做了一次投票活动,为了防止刷票做了短信验证的限制。然后发现有人在我们这边发广告说可以代刷票,被我们干掉了,刷的票也直接减掉了。

    可能断了刷票方的财路,现在刷票方不断的在捅我们的短信接口不断的消耗我们的短信,基本一分钟干掉上百条。请问大家有这种经验么,该怎么处理。

    我们做了单 IP 不能获取超过 4 个验证码的限制,可是刷票方都是不同的 ip 不同手机号,完全不知道哪来的这么庞大的库。也有图形验证码限制。

    第 1 条附言  ·  2015-10-14 16:28:00 +08:00
    更新一下,目前在获取短信的步骤前置了图形验证码验证,现在是好了。需要再观察一下看他们是否会破解图形验证码
    29 条回复    2017-04-26 16:29:54 +08:00
    avichen
        1
    avichen  
       2015-10-14 11:22:48 +08:00
    你这个问题,我们前几个月碰到过,后来在每个获取短信的页面前增加了页面输入验证码功能,避免了机器直接访问的请求
    heloman
        2
    heloman  
       2015-10-14 11:25:48 +08:00
    一个粗略的思路:改成投票者发短信你们接收,实现方便的话可以搞
    hicdn
        3
    hicdn  
       2015-10-14 11:27:34 +08:00
    @heloman 这方法就是做大死
    cedared
        4
    cedared  
    OP
       2015-10-14 11:30:50 +08:00
    @avichen 感谢 我们现在试一下
    WayneWangWM
        5
    WayneWangWM  
       2015-10-14 11:31:28 +08:00
    @hicdn 这不就是 apple 么
    my101du
        6
    my101du  
       2015-10-14 11:32:41 +08:00   ❤️ 1
    给你推荐两个内容,一个是移动的《防短信炸弹参考》,一个是我之前写的一点代码

    http://pan.baidu.com/s/1bnqK9Tt

    http://www.itjiaoshou.com/express-sms-company-check-use-api/#toc_6

    图形验证码如果是比较简单的,应该花点时间就破掉了,最近看到那种“滑动”的验证码,不知道有没有帮助
    TakanashiAzusa
        7
    TakanashiAzusa  
       2015-10-14 11:33:55 +08:00
    @heloman 不是大厂的话,这么搞药丸。
    cedared
        8
    cedared  
    OP
       2015-10-14 11:35:08 +08:00
    @my101du 感谢,我来研究一下
    holmesabc
        9
    holmesabc  
       2015-10-14 11:37:21 +08:00
    胖,最好的做法是改游戏规则。
    cedared
        10
    cedared  
    OP
       2015-10-14 11:37:51 +08:00
    @holmesabc 你想表达啥……
    mornlight
        11
    mornlight  
       2015-10-14 11:45:21 +08:00
    最常见的滑动验证码是极验,你拿 SDK 集成进去就好。
    scys
        12
    scys  
       2015-10-14 11:46:03 +08:00
    验证码。。。。
    MrEggNoodle
        13
    MrEggNoodle  
       2015-10-14 11:48:40 +08:00
    希望楼主继续更新!告诉后续情况。
    cedared
        14
    cedared  
    OP
       2015-10-14 11:49:32 +08:00   ❤️ 1
    @MrEggNoodle 好的 等我改完先
    gamexg
        15
    gamexg  
       2015-10-14 11:53:20 +08:00 via Android
    滑动验证更好破解啊,包括图片分类的验证也是很简单就可以破解。
    PandaSaury
        16
    PandaSaury  
       2015-10-14 12:04:56 +08:00
    1 、你们可以收集一个代理 IP 库
    2 、例如:输入验证的时间,低于一秒。等类似的机器人判断
    RangerWolf
        17
    RangerWolf  
       2015-10-14 12:12:06 +08:00
    关注~ 求经验
    viesong
        18
    viesong  
       2015-10-14 12:24:19 +08:00   ❤️ 1
    建议试试 SUBMAIL , submail 每个短信 APPID 都可以绑定自定义绑定 IP 地址, API 有主动防御机制,也就是当屏蔽非常高的验证码被刷屏之后,会触发 API 对被攻击的 APPID 请求的验证码号码进行过滤,安全级别 1-10 , API 会自动根据刷码攻击的级别对验证码模板进行安全级别设定。

    主动防御机制激活后,验证码模板会对请求的号码通过频率、次数、时间进行判断,判定为为恶意刷码的号码主动加入临时黑名单,短信不会发出去,也不会造成计费。

    可以试试 http://submail.cn/chs
    viesong
        19
    viesong  
       2015-10-14 12:30:44 +08:00
    SUBMAIL 还有语音验证码,可以配合短信验证码做防刷码机制
    superkey
        20
    superkey  
       2015-10-14 12:34:00 +08:00
    明显是验证码被破解了,弄个多位数复杂点验证码。
    viesong
        21
    viesong  
       2015-10-14 12:44:54 +08:00
    一些短信运营商肯定会让你加图片验证码做二次验证,但。。图片验证码根本不启作用,反而降低用户体验
    Yvette
        22
    Yvette  
       2015-10-14 13:01:34 +08:00 via iPhone
    @WayneWangWM Apple 也沒有這樣做呀,至少我沒遇到過。騰訊倒是有時候需要發短信過去
    WayneWangWM
        23
    WayneWangWM  
       2015-10-14 14:12:41 +08:00
    @Yvette iPhone 每天到店预约提货,就是这样的
    lshero
        24
    lshero  
       2015-10-14 14:14:15 +08:00
    加一句"最终解释权归主办方所有,主办方有权取消数据异常用户的参赛资格"
    然后随心所欲的减票就行了
    zts1993
        25
    zts1993  
       2015-10-14 16:54:19 +08:00
    绝大多数写的验证 IP 的都是有问题的,比如不能检测伪造 http 请求里面 ip 相关字段
    RangerWolf
        26
    RangerWolf  
       2015-10-15 17:53:18 +08:00
    楼主,问一下你现在的状况如何,另外用的是哪个验证码 SDK?
    gbooks
        27
    gbooks  
       2015-10-15 21:37:35 +08:00
    通常一般加验证码,和 ip 限制,实在不行加变态验证码(可以考虑急速验证类似的),给识别难度添加大。
    chonry
        28
    chonry  
       2017-03-28 10:24:43 +08:00
    lz 可参考篇文章:短信验证码接口被恶意攻击怎么办?http://www.cr6868.com/html/xyxw/2709.html ,能够杜绝 95%的攻击情况。
    jianglong
        29
    jianglong  
       2017-04-26 16:29:54 +08:00
    我之前也遇到过这种现象,当时用的是 SUBMAIL 赛邮的短信通道,被刷了 10000 多,其实吧,我们自己 ip 限制和图形验证码都没加。好在找了 SUBMAIL 都补偿了。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2674 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 15:01 · PVG 23:01 · LAX 07:01 · JFK 10:01
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.