短信驗證碼對于現(xiàn)在人來說，肯定不陌生，也都知道注冊平臺或者軟件的時候有填寫驗證碼的要求，填寫之前還有一個圖形驗證，然后才能進(jìn)行驗證碼獲取，還有的企業(yè)對第二次獲取驗證碼還有時間限制。

短信惡意攻擊的目的是什么？目前市場上的惡意短信攻擊只是兩個目的：

首先是攻擊特定的手機(jī)號碼。黑客在網(wǎng)上使用多個不安全的短消息發(fā)送接口，并且循環(huán)呼叫接口向移動電話號碼發(fā)送短消息，使得該手機(jī)號碼頻繁的收到短信，也是俗稱“呼死你”、“短信轟炸”限制已經(jīng)被國家禁止發(fā)送了。

接著就是是惡意刷目標(biāo)網(wǎng)站短信驗證碼的費用。黑客發(fā)現(xiàn)無保護(hù)的短信發(fā)送界面后，黑客會根據(jù)某個手機(jī)號碼列表定期獲取短信驗證碼。在攻擊期間，黑客將不斷更改IP地址，并且可以刷幾萬甚至更高的短信收費。被攻擊的公司也將在成本丟失的同時收到用戶的投訴，并且公司的形象將受到損害。

容易受到攻擊的場景

更常被攻擊的場景是用戶注冊頁面，或短信快捷登錄頁面?線投票等頁面。在這種情況下的短信接口通常不對用戶執(zhí)行相關(guān)的驗證。

關(guān)于使用幾種反攻擊策略的思考

一些反攻擊策略可以在一定程度上起作用，但它們對用戶體驗有不同的影響。在實際使用中，您需要考慮實際情況并結(jié)合使用以下策略。

設(shè)置短信發(fā)送間隔

設(shè)置重復(fù)傳輸相同數(shù)字的時間間隔，通常設(shè)置為60-120秒。該方法可以防止短消息接口在一定程度上受到惡意攻擊，對用戶體驗無害。但是，不可能防止黑客更改手機(jī)號碼以進(jìn)行攻擊，并且保護(hù)級別低。

手機(jī)號碼獲取短信驗證碼限制

限制特定電話號碼在特定時間段內(nèi)獲得短信驗證碼的更大次數(shù)。采用這種策略時，產(chǎn)品設(shè)計過程中有幾點值得認(rèn)真考慮。

仔細(xì)定義上限。根據(jù)業(yè)務(wù)的實際情況，甚至有必要考慮到未來業(yè)務(wù)的發(fā)展，設(shè)置合適的上限，避免用戶引起的投訴無法接收驗證碼。

仔細(xì)定義鎖定時間段。它可以是24小時，也可以是12小時、 6小時。需要根據(jù)業(yè)務(wù)條件進(jìn)行定義。

IP限制

設(shè)置單個IP地址在一段時間內(nèi)的更大傳輸量。這種方法可以很好地防御單IP地址攻擊，但有兩個明顯的缺點：對于經(jīng)常更改IP地址進(jìn)行攻擊的黑客，此方法效果不佳。

例如，在使用統(tǒng)一無線網(wǎng)絡(luò)的一些地方，許多用戶連接到同一無線網(wǎng)絡(luò)，并且IP地址很可能很快達(dá)到上限，因此連接到無線網(wǎng)絡(luò)的用戶無法接收到驗證碼通常。

10658云通信一體化云通訊服務(wù)平臺，注冊登錄即可免費在線進(jìn)行驗證碼接口測試和api接口接入，還可以進(jìn)行更多的通訊服務(wù)可以免費試用。