如何防范短信验证码的DDoS攻击

Question

我有一个应用程序，用户可以在其中注册并输入他们的手机和其他数据。为了验证用户是否有效，在将其保存到数据库之前，我向用户发送一条带有代码的短信。之后他们应该在表格中输入代码。

问题是，如果我尝试发送短信，即使电话号码无效，我的短信提供商也会向我收费。

如何防止对我的应用程序的 DDoS 攻击，该攻击每次都会尝试发送短信（即使号码无效）？

Answer 1

您应该尝试以下几件事。

首先，您应该尝试通过启用验证码来降低 DDOS 攻击的可能性。

虽然这会使 DDOS 攻击变得困难，但并不意味着不可能。为了防止实际的 DDOS 攻击，您不需要立即执行 SMS 请求，而是将它们放入队列中。通过建立一个具有明确定义的速率限制的单独流程并在您的网站上显示“消息可能需要长达 15 分钟才能到达”，您将使创建资源耗尽变得更加困难。

最后但并非最不重要的一点是，在发送消息之前进行电话号码验证，并跟踪过去 30 分钟内向特定号码发送的请求数量。将唯一编号的请求数量限制为每 30 分钟 2 个请求。