3万条短信轰炸,整个人都崩溃了!

参考消息网1月18日报道台媒称，湖北省武汉市一名男子的手机，疑似遭受“短信炸弹”攻击，1个月内收到3万多则网站注册或取回密码短信。他被搞的心烦意乱，还因此患轻度忧郁症。

相信上述新闻中所说的短信炸弹大家或多或少都听过，甚至是亲身经历过。百度上随便一搜索，就能发现大量的所谓“短信轰炸机”，试用一下效果都还挺不错，有的还搞出了升级加强版。

那么短信轰炸的原理是什么呢？对网站来说又有哪些危害？短信轰炸又如何防止，短信接口如何保护？接下来让作为同盾第一帅的小编我为你逐一道来。

许多网站都依据手机号码作为用户身份的唯一ID，在用户注册、用户身份二次校验等场景，常常采用发送短信验证码的方式来校验用户的真实手机号码。如果短信发送流程有逻辑漏洞或者干脆短信接口不做任何控制，就会给不法分子留下钻空子的机会，他们会收集网上非常多的短信验证接口，一旦接到攻击某个手机号码的任务，系统就会向所有这些接口发送请求，同时附带被攻击的手机号码。紧接着各种各样的注册短信、二次校验短信就会向潮水一般涌向被攻击的手机。这就是各种短信轰炸机的原理。

不管出于恶作剧还是报复目的，对于被攻击号码的机主来说都是一次“奇妙”的体验，笔者的某个配置不佳的手机还经历过当场死机的悲剧。

另一方面，短信轰炸的背后深层次原因来自网站没有对自身的短信发送接口采取保护措施。对于拥有这些短信校验接口的网站来说，自己的接口被滥用，不仅仅会带来品牌商的损失（设想自己的产品名称作为垃圾短信出现在用户的手机里），更重要的是，由于每发送一条短信，企业都需要向服务商交纳5分到1毛不等的费用，这可是实实在在的金钱损失。笔者就曾见过某大型网站每天仅发送垃圾短信的费用就达到上万元！

谁都不想花这些冤枉钱，让我们看看几种常见的保护短信接口的方法。

1. 针对单个手机号码每天限定一定的短信发送次数

思路很简单，如果每个手机号码每天只允许发送固定数量的短信，那么短信接口就不会被滥用了。

然并卵！上面我们提到了攻击者的攻击方式，攻击某个手机号时，攻击程序同时请求无数的短信接口，绝大部分情况下，每个网站的接口都只请求一两次，并不会触发短信发送数量上限。因此这种防护方式并没有什么效果，对于网站来说，看到的仍然是无数的手机号，每个都发送一两条短信，但是无法区分，哪些手机号是真正的用户，哪些是被攻击的号码。

2. 限定来源ip的接口请求次数或频率

看上去还不错！限定单个ip地址的请求，即使一次攻击多个号码，也可以识别出来。

然并卵啊亲！获取一个ip实在太廉价了，普通家用宽带都可以分分钟通过断开再拨号获取多个ip。嫌断开再拨号速度慢？网上各种提供代理ip的网站上都有无数的代理ip可以使用，甚至淘宝上还有提供随时拨号的动态vps服务器，人家可以声称有几十万的ip可以随时使用，价格也不贵，还可以日租哦。

3. 每条短信发送之前都加上验证码校验，只有提供正确的验证码，才发送短信

似乎是终极解决方案了，可是你的验证码图片足够复杂么？普普通通的验证码，通过OCR识别的方式可以瞬间转成文本。你说：那把验证码搞的复杂一点，斜线竖线干扰线统统加上！还不够？再加上1+1等于几，再填写月落乌啼霜满天的首字母，这下总行了吧！

然并卵！且不说各种打码平台对于各种验证码都是秒破，这么复杂的验证码用户体验都成渣了。要知道，发送短信验证码最多的场景是用户注册，用户注册啊，亲！费尽心力引来过来的流量、拉过来的用户就这么被验证码挡在门外了，真是比窦娥还冤。不是每个网站都像12306底气这么足。

说了这么多，终于轮到同盾出场了。首先抛出结论——同盾的短信接口保护方案能够轻松防护针对短信验证码接口的攻击，同时对正常用户的体验没有任何影响。这还不是最关键的，最关键的是，接入方式尤其简单！

反欺诈永远是与欺诈份子持续对抗的过程。单一维度的方案很快就会被欺诈份子摸索出来并针对性的绕过，只有从多个维度，并且形成事前、事中、事后的闭环方案，才能最大化提高欺诈份子的攻击成本。一旦将大多数欺诈份子的攻击成本提升到足够高，对于欺诈份子来说，再进行攻击就变得没有性价比，他们很快就会将目标转移到那些相对来说更容易利用的平台上。

所以同盾的方案是一个多维度多模块的保护方案，同时在事前、事中、事后都有针对性措施。

同盾短信接口保护主要分为以下这八大模块：

1、专家分析 技术指数：3星

在保护措施上线之前，同盾的安全专家会针对性的分析待保护的短信接口是否有严重的逻辑漏洞或者其他安全漏洞。很多短信接口的攻击源自系统代码本身实现的漏洞。例如：针对同一个手机号的校验错误导致的短信炸弹，验证码接入逻辑问题导致的验证码绕过，短信验证码没有限定校验次数导致暴力破解，甚至还有代码泄露造成的短信网关配置密码泄露。所以只有确保短信接口没有基础安全问题，才能保证反欺诈防护模块的效果。同盾经验丰富的安全专家会仔细分析短信验证码接口的实现是否有安全问题，一旦发现，会给出详细的修复方案。

2、欺诈情报 技术指数：3星

未知攻，焉知防。“炸你妹”、“短信轰炸机”，这些都是非常流行的短信接口攻击程序，同盾会时刻监控市面上流行的攻击工具，并实时监测这些工具利用的短信接口是否属于您的网站。

3、代理监测 技术指数：2星

代理是伪造网络身份最常用的方法。同盾会探测发送请求的来源ip地址是否是代理ip。同盾的代理检测能够准确检测多种代理方式，包括：HTTP、SSH、SOCKSV5、VPN等，VPN包括PPTP和L2TP等多种类型。

4、地址位置 技术指数：2星

短信接口涉及到的两个数据指标：ip地址和手机号码都伴随着地理位置属性。通过对同盾的GEO-IP库和手机号码归属地库的映射，同盾从地理位置的维度判断风险，例如手机号码归属地与ip归属地不同等等，并且我们会总结相关的经验，对来自高危地区的请求做加权识别。

5、设备指纹 技术指数：5星 同盾专属

（编辑：应用网_丽江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!