短信防盜刷解決方案

??防盜刷解決方案盜刷定義、危害定義：短信接口被惡意訪問調(diào)用，請(qǐng)求數(shù)量異常，短信發(fā)送量在飆升，遠(yuǎn)遠(yuǎn)大于正常發(fā)送范圍值。危害：客戶產(chǎn)生大量額外費(fèi)用，容易產(chǎn)生客戶投訴盜刷原理在Web開發(fā)中，總有一些接口需要暴露在用戶認(rèn)證前訪問，短信發(fā)送接口特別是短信驗(yàn)證碼注冊(cè)接口便是其中典型的一類，這類接口具有如下特點(diǎn)：流量在用戶認(rèn)證之前流量在用戶認(rèn)證之前，意味著無法獲取用戶ID等唯一標(biāo)識(shí)符信息對(duì)流量限流手機(jī)號(hào)未知手機(jī)號(hào)未知意味著無法對(duì)待發(fā)送短信的手機(jī)號(hào)做精準(zhǔn)檢測，判斷是否是合法的手機(jī)號(hào)。通過正則表達(dá)式判斷手機(jī)號(hào)連號(hào)過多，容易滋生短信盜刷。本文將重點(diǎn)聚焦接口的防盜刷實(shí)踐。一、盜刷流量在解決防盜刷之前先認(rèn)識(shí)盜刷流量的特點(diǎn)和防盜刷的目標(biāo)。（一）防盜刷的目標(biāo)1、減少盜刷的總量如果能將盜刷的頻率控制在60秒之外，那么單日盜刷的最大數(shù)量為24*60=1440。假如系統(tǒng)入侵者發(fā)現(xiàn)請(qǐng)求頻率間隔在60秒以上，那么可自動(dòng)勸退入侵者，原因是投入與產(chǎn)出不匹配。實(shí)際上盜刷流量以秒級(jí)甚至毫秒級(jí)刷新，對(duì)系統(tǒng)造成明顯的損害。2、回避周期性盜刷周期性盜刷隱匿性更高，對(duì)系統(tǒng)有持續(xù)破壞能力，積少成多，不易察覺，相比于單次爆破性盜刷，周期性盜刷的危害可能會(huì)更大。對(duì)于重要的接口，可考慮動(dòng)態(tài)URL或者給參數(shù)增加時(shí)間戳簽名，避免靜態(tài)接口被暴露出去。3、減小對(duì)正常用戶的影響防盜刷的重要目標(biāo)是避免因提高安全等級(jí)而誤傷正常用戶，即使對(duì)正常用戶有影響，也要減少相應(yīng)的比率。（二）盜刷流量的特點(diǎn)盜刷與正常用戶流量有明顯區(qū)別，盡管盜刷可以模擬正常用戶，但是還是通用性區(qū)別。正常用戶訪問是隨機(jī)的，失敗重試的次數(shù)有限并且也是隨機(jī)的。盜刷流量是周期性的，并且間隔很小。正常用戶是通過瀏覽器或者APP間接的產(chǎn)生請(qǐng)求流量，盜刷通過代碼直接發(fā)送HTTP請(qǐng)求。二、可行性方案下面通過逐步探究的方式，尋找合適的防盜刷方案。（一）無安全防護(hù)如果說重要的接口無安全防護(hù)措施，那么過于粗心大意。僅靠短信運(yùn)營商提供的限流和預(yù)警方案不能滿足短信防盜刷的需求，本質(zhì)原因是手機(jī)號(hào)可以合法的模擬，短信運(yùn)營商不管是正常手機(jī)號(hào)、停機(jī)號(hào)、注銷號(hào)還是尚未投入使用手機(jī)號(hào)，均會(huì)響應(yīng)發(fā)送短信的指令，哪怕是空號(hào)發(fā)送不成功也會(huì)計(jì)數(shù)。實(shí)際上盜刷使用的空號(hào)正是接口盜刷的典型特征。僅靠短信運(yùn)營商提供的限流和預(yù)警方案不能滿足短信防盜刷的需求，盡管可以針對(duì)單個(gè)手機(jī)號(hào)定制發(fā)送短信限額，按小時(shí)、按天可定制發(fā)送總額，依然不滿足短信防盜刷的目標(biāo)。當(dāng)觸發(fā)限流時(shí)，正常用戶流量同樣被限流，對(duì)于短信注冊(cè)來說新增正常用戶受影響。如果惡意破壞者連多日耗盡限額短信資源，對(duì)正常用戶的使用影響很大。（二）圖片驗(yàn)證碼在無防護(hù)措施的基礎(chǔ)上增加圖片驗(yàn)證碼，有驗(yàn)證碼的保護(hù)，短信接口相對(duì)安全許多。短信驗(yàn)證碼盡管能夠有效保護(hù)短信接口防盜刷，但是不能夠保護(hù)自己被盜刷。盜刷流量惡意刷新圖片驗(yàn)證碼接口，給服務(wù)器CPU造成極大的負(fù)載：圖片驗(yàn)證碼服務(wù)與業(yè)務(wù)耦合，則業(yè)務(wù)可能響應(yīng)緩慢；圖片驗(yàn)證碼服務(wù)獨(dú)立部署，隔離了對(duì)業(yè)務(wù)的影響，但是圖片驗(yàn)證碼服務(wù)器CPU依舊可能過載，正常用戶依然收到影響。Web系統(tǒng)使用圖片驗(yàn)證碼正逐漸減少，原因是引入了圖片驗(yàn)證碼保護(hù)了短信接口，卻無法保護(hù)自己。（三）基于IP限流上述兩種方法存在明顯的缺陷，實(shí)施落地時(shí)幾乎不使用，通過基于IP限流對(duì)無安全防護(hù)方案進(jìn)行升級(jí)改造?；贗P地址，每60秒允許發(fā)送一條短信（不關(guān)聯(lián)手機(jī)號(hào)），通過后端強(qiáng)制限流，能夠大幅減少短信接口被盜刷的數(shù)量?；贗P限流回避了盜刷模擬手機(jī)號(hào)的影響，使用IP地址一刀切，穩(wěn)妥的保證了短信接口的安全。IP限流有個(gè)潛在隱患是如果惡意破壞者與正常用戶復(fù)用同一個(gè)公網(wǎng)IP出口，那么正常用戶可能會(huì)收到影響，不過這種情況影響范圍有限且可控。惡意盜刷通過代理IP地址仍然能夠繞過IP限流，只不過增加了破壞者的成本。UCodeCMS內(nèi)置分布式IP限流的實(shí)現(xiàn)，可快速集成到項(xiàng)目中，請(qǐng)?jiān)L問

開源項(xiàng)目中說明文檔獲取更多內(nèi)容。（四）動(dòng)態(tài)請(qǐng)求通過上述三種方案并沒有找到令人滿意的防盜刷方案，下面在IP限流的基礎(chǔ)上繼續(xù)打補(bǔ)丁，升級(jí)到動(dòng)態(tài)請(qǐng)求。動(dòng)態(tài)請(qǐng)求的核心思想是將短信驗(yàn)證碼接口動(dòng)態(tài)化，既可以接口URL動(dòng)態(tài)化，也可以是參數(shù)動(dòng)態(tài)化。下面介紹一種基于時(shí)間戳簽名參數(shù)的方式，實(shí)現(xiàn)動(dòng)態(tài)請(qǐng)求。1、簽名參數(shù)生成前后端約定簽名參數(shù)生成算法，此算法應(yīng)當(dāng)保密。比如：手機(jī)號(hào)則key=MD5(手機(jī)號(hào)+當(dāng)前時(shí)間/分鐘），這里使用60秒的緩沖時(shí)間，也可以約定3分鐘或者5分鐘。前后端都用這種方式生成key，前端頁面通過js腳本生成“簽名”，服務(wù)端“驗(yàn)簽”。需要注意的是：時(shí)間校驗(yàn)要留buffer，客戶機(jī)時(shí)間與服務(wù)器時(shí)間并不完全相同。1、同一個(gè)簽名參數(shù)超過緩沖時(shí)間在后端無法實(shí)現(xiàn)驗(yàn)簽，因此盜刷在不知道簽名算法的前提下，盜刷流量有時(shí)間維度限制，解決了周期性盜刷的問題。2、簽名算法安全性簽名算法在后端是安全的，出開發(fā)人員外，幾乎無泄漏的可能。下面著重討論簽名算法在前端的安全性，以Web端和APP端討論。（1）Web端Web端通過JS實(shí)現(xiàn)簽名算法，由于可通過瀏覽器直接查看JS，有泄露算法的可能。不過目前大多數(shù)JS都是通過壓縮處理的，無法直接查看JS的詳細(xì)內(nèi)容，如果前端做一些偽裝，破壞者找到簽名算法有一定難度。（2）APP端相比于Web端，APP端的安全性略高，簽名拳法封裝在APP應(yīng)用程序中，除非通過反編譯手段，無法得知簽名算法的詳情。對(duì)于非HTTPS流量，可通過抓包程序獲取短信接口的URL和參數(shù)，在不知道簽名算法的前提下，仍不能周期性的盜刷。三、小結(jié)上述可行性方案逐步升級(jí)，能夠?qū)崿F(xiàn)重要接口的防盜刷需求。（一）防盜刷建議對(duì)于重要接口的防盜刷，除了使用上述方案外，建議遵循如下要點(diǎn)：1、使用POST請(qǐng)求盡量使用POST請(qǐng)求方式，增加盜刷者的嘗試成本。2、使用HTTPSHTTPS在Web端形同虛設(shè)，在APP端有較為很好的保護(hù)作用，盜刷者通過抓包工具無法直接獲取接口的詳情信息，有效的保護(hù)了接口。3、周期性修改接口隨著項(xiàng)目的迭代升級(jí)，周期性的隨機(jī)變更重點(diǎn)接口的請(qǐng)求地址，前后端同步更新。（二）補(bǔ)充說明上述可行性討論方案適用于與短信注冊(cè)類似的接口。1、短信登錄接口短信登錄在IP限流的基礎(chǔ)上增加手機(jī)號(hào)BitMap檢驗(yàn)，如果當(dāng)前客戶端訪問IP限流正常，并且當(dāng)前請(qǐng)求手機(jī)號(hào)已經(jīng)注冊(cè)，則發(fā)送短信。短信登錄接口無必要使用復(fù)雜的動(dòng)態(tài)請(qǐng)求的方式，原因是已經(jīng)默認(rèn)了當(dāng)前請(qǐng)求手機(jī)號(hào)存在數(shù)據(jù)庫中，如果不存在那么便是錯(cuò)誤請(qǐng)求，快速響應(yīng)即可。UCodeCMS內(nèi)置分布式BitMap的實(shí)現(xiàn)，可快速集成到項(xiàng)目中，請(qǐng)?jiān)L問

開源項(xiàng)目中說明文檔獲取更多內(nèi)容。2、已認(rèn)證接口對(duì)于已經(jīng)經(jīng)過登錄認(rèn)證的接口，可使用用戶ID限流，直接在無安全防護(hù)的基礎(chǔ)上使用用戶ID限流。四、創(chuàng)藍(lán)實(shí)踐以統(tǒng)一平臺(tái)為例：

1）在一定時(shí)間范圍內(nèi)請(qǐng)求次數(shù)進(jìn)行攔截一分鐘內(nèi)，只能請(qǐng)求一次該接口；

10分鐘內(nèi)請(qǐng)求接口5次限制，每天請(qǐng)求限制20，當(dāng)天請(qǐng)求限制每周，每個(gè)月請(qǐng)求次數(shù)配置可以調(diào)整進(jìn)入黑名單，手動(dòng)黑名單功能；

2）區(qū)