Article / 文章中心

如何防范短信接口被恶意调用(被刷)

发布时间:2020-03-26 点击数:3530

来源: CSDN

编辑:刘光昕
一、什么是短信轰炸(短信接口被刷)

短信轰炸一般基于 WEB 方式(基于客户端方式的原理与之类似),由两个模块组成,包括:一个前端 Web 网页,提供输入被攻击者手机号码的表单;一个后台攻击页面(如 PHP),利用从各个网站上找到的动态短信 URL 和 前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一个动态短信。

- 被攻击者大量接收非自身请求的短信,造成无法正常使用移动运营商业务。
- 短信接口被刷通常指的就网站的动态短信发送接口被此类短信轰炸工具收集,作为其中一个发送途径。

具体工作原理如下:

(1)恶意攻击者在前端页面中输入被攻击者的手机号;
(2)短信轰炸工具的后台服务器,将该手机号与互联网收集的可不需要经过认证即可发送动态短信的 URL 进行组合,形成可发送动态短信的 URL 请求;
(3)通过后台请求页面,伪造用户的请求发给不同的业务服务器;
(4)业务服务器收到该请求后,发送动态短信到被攻击用户的手机上。

流程示例:

二、短信轰炸的防护方案

鉴于短信轰炸的发起一般都是服务器行为,应该采用如下综合手段进行防御

(1)增加图形验证
(2)单IP请求次数限制
(3)限制号码发送

(一)增加图形验证

恶意攻击者采用自动化工具,调用“动态短信获取”接口进行动态短信发送,原因主要是攻击者可以自动对接口进行大量调用。
采用图片验证码可有效防止工具自动化调用,即当用户进行“获取动态短信” 操作前,弹出图片验证码,要求用户输入验证码后,服务器端再发送动态短信到用户手机上,该方法可有效解决短信轰炸问题。

安全的图形验证码必须满足如下防护要求

- 生成过程安全:图片验证码必须在服务器端进行产生与校验;
- 使用过程安全:单次有效,且以用户的验证请求为准;
- 验证码自身安全:不易被识别工具识别,能有效防止暴力破解。

图形验证的示例:

(二)单IP请求次数限制

使用了图片验证码后,能防止攻击者有效进行“动态短信”功能的自动化调用;
但若攻击者忽略图片验证码验证错误的情况,大量执行请求会给服务器带来额外负担,影响业务使用。建议在服务器端限制单个 IP 在单位时间内的请求次数,一旦用户请求次数(包括失败请求次数)超出设定的阈值,则暂停对该 IP 一段时间的请求;若情节特别严重,可以将 IP 加入黑名单,禁止该 IP 的访问请 求。该措施能限制一个 IP 地址的大量请求,避免攻击者通过同一个 IP 对大量用户进行攻击,增加了攻击难度,保障了业务的正常开展。

(三)限制发送时长

建议采用限制重复发送动态短信的间隔时长, 即当单个用户请求发送一次动态短信之后,服务器端限制只有在一定时长之后(此处一般为60秒),才能进行第二次动态短信请求。该功能可进一步保障用户体验,并避免包含手工攻击恶 意发送垃圾验证短信。


完整的动态短信验证码使用流程


luosimao目前提供的免费图形验证码方案:

https://luosimao.com/service/captcha

三、短信防火墙防护方案

  新昕科技 www.newxtc.com ,创始团队来自百度旗下去哪儿、易宝支付、联动优势、高阳捷讯(19pay)等支付及航旅知名企业,历时3年时间,在价值百万的风控引擎基础上 ,训练出“防短信轰炸”智能模型,彻底解决“安全”与“用户体验”的矛盾,产品经理只需专注用户体验,无需为安全让步。

  1)无感:去类12306、对缺口拼图、拖动等所谓人机验证有感方式。 

化繁为简,简单到只需要输入手机号,还产品本来面目

  2)保障:攻防对抗大数据训练的 AI模型,去前端交互验证方式,后端防御确保短信安全

     比如,同一个IP ,即使有1万个正常用户同时共同使用,可以确保放行,但常规的防控大多数被误拦。

      反之,攻击者控制1万台主机,1万个不同IP、手机,也保证拦截,但常规的防控对此无能为力。

    

    如何做到的, 基于三层AI防御体系,

     报文对抗层 在最外层应用加解密及混淆技术,对抗普通的攻击,

     蜂窝防护层 由时空主体组成蜂窝,确保被攻击后蜂窝之间互不影响,缩小受影响的范围,

     安全气囊   在确保老用户不受影响下, 根据攻击规模自动启停并进行动态控制。

 

  3)高效:价值百万的风控引擎浓缩的10M 短信防火墙安装包,本地部署运行,毫秒级响应。

  避免“云模式”的网络延时问题,导致滑动条出不来等情

 

关键技术说明:

    悬浮式指标引擎加载AI模型,悬浮于磁盘超高速运行,随输入的业务数据生成统计指标,提供给决策引擎做进一步分析处理,

 决策引擎加载“短信防轰炸”AI模型和指标后,和输入的业务数据流做逻辑判断后,输出风险结果,响应速度达到恐怖的1毫秒。

 

总结:随着互联网技术的不断发展,我们每日都离不开与互联网的交互。短信验证码作为互联网交互中的重要环节,保卫着网站的安全以及我们的信息安全。用户体验差、毫无安全性可言的图片验证码将退出历史舞台,未来将会是安全与体验双重保障的验证码的时代。