短信轰炸的原理及解决思路

大部分的网站和移动应用在注册时使用手机号码作为平台账号，利用短信验证来鉴别手机号是否属于用户本人。因此，我们在各类平台的注册场景经常见到短信验证。然而，这种验证工具背后却暗藏许多安全隐患。其中最主要的一种就是黑产利用各类平台的短信验证接口进行短信轰炸。

短信轰炸造成短信通道阻塞、企业品牌形象受损、短信费用被大量恶意消耗等负面影响，若被用户投诉，还将导致短信接口封禁，直接影响网站正常业务。

 

什么是短信轰炸？

 短信轰炸是通过各平台获取短信验证码，达到恶意发送垃圾短信的工具。这种“短信炸弹”主要是通过特制的软件不断往一个手机号码发重复的垃圾短信，以达到骚扰目标用户的效果。一个强大的短信轰炸机能做到每秒发送上百条短信。

  

短信轰炸的原理是什么？

 

l 恶意攻击者在前端页面输入被攻击者的手机号

l 短信轰炸后台服务器，将该手机号与互联网收集的可不需要经过认证即可发送动态短信的URL进行组合，形成可发送动态短信的URL请求

l 通过后台请求页面，伪造用户的请求发给不同的业务服务器

l 业务服务器收到该请求后，发送动态短信到被攻击用户的手机上

 

短信轰炸的方式是什么？

短信轰炸是利用短信接口的攻击方式，针对某个网站短信接口集中恶意攻击，或者利用短信轰炸机调用接口。

 

解决短信轰炸的主要方式：

1.针对单个手机号码每天限定短信发送次数

解决思路：

每个手机号码每天只允许发送固定数量的短信，那么短信接口就不会被滥用了。

实际效果：

短信轰炸机的工作原理是攻击某个手机号时，攻击程序同时请求无数的短信接口，绝大部分情况下，每个网站的接口都只请求一两次，并不会触发短信发送数量上限。因此这种防护方式并没有什么效果，对于网站来说，看到的仍然是无数的手机号，每个都发送一两条短信，但是无法区分，哪些手机号是真正的用户，哪些是被攻击的号码。

 

2.针对来源ip限制接口请求次数或频率

解决思路：

限定单个ip地址的请求，即使一次攻击多个号码，也可以有效识别。

实际效果：

获取一个ip实在太廉价了，普通家用宽带都可以分分钟通过断开再拨号获取多个ip。网上各种提供代理ip的网站上都有无数的代理ip可以使用，甚至淘宝上还有提供随时拨号的动态vps服务器。

 

3.每条短信发送之前都加上验证码校验

提供正确的验证码，才发送短信，彻底解决脚本问题

实际效果：

普普通通的验证码，通过OCR识别的方式可以瞬间转成文本。稍复杂的验证码也可通过OCR+简单机器学习破解。

 

注册场景作为每个平台的入口，是非常核心的交互场景。保障注册场景的交互安全与交互体验也是每个平台需要不断思考和优化的课题。实际上，各大运营商也专门规定短信验证码必须加上图形验证码的保护。但是传统的图形验证已经不再安全，同时又非常影响用户的交互体验。网站与应用管理者，需要探寻更佳优质的解决方案。而极验的基于深度学习验证安全服务无疑是当下最合适的一种，目前已应用于包括斗鱼YV、airbnb、魅族等二十万家网站。