之前有推荐客户使用百度云防护企业版拦截手机被刷短信问题,但价格太贵,客户用不到起怎么办?如果不想升级到百度云防护企业版,确实会缺少BOT防护中的风险识别(手机号信誉库)、AI智能防护等高级功能。但是别灰心,针对你描述的“不同IP、不同手机号、分布式低频”攻击,我们依然可以用专业版/商务版里现有的功能打出一套漂亮的组合拳。
虽然无法直接识别“这个手机号是不是黑产”,但我们可以通过更精细的策略,让攻击者的自动化脚本无处遁形,同时最大限度地减少对正常用户的影响。
以下是为你整理的“非企业版”拦截方案:
🛡️ 第一招:精准CC的进阶玩法——给手机号加“紧箍咒”
你已经试过IP限速,但攻击者换IP就让规则失效了。解决办法是从“统计IP”转向“统计手机号”。这是精准自定义CC功能赋予我们的能力。
- 配置示例:
- 进入【CC防护】→【添加规则】→ 选择“精准自定义CC”。
- 匹配条件:选择“URI”包含你实际的短信接口地址(如
/api/sms/send)。 - 统计对象:这是最关键的一步。选择“自定义参数”,并在输入框中填写你的手机号字段名,比如
mobile或phone。 - 统计时长与阈值:建议设置
3600秒(1小时)内,同一个手机号最多允许请求5次。这个阈值可以根据你业务的实际情况调整。 - 处置动作:选择“拦截”。
这样一来,无论攻击者换多少个IP,只要他们试图在1小时内对同一个手机号发起超过5次的短信请求,就会被无情拦截。这就把攻击者的成本从“换IP”抬高到了“换手机号”,效果立竿见影。
🌍 第二招:区域封禁——如果攻击源来自海外
如果你的业务只面向中国大陆用户,那么这是一个极具性价比的防护手段。很多黑产使用的代理IP或秒拨IP都来自海外。
- 配置方法:
- 进入【自定义规则】→【添加规则】。
- 匹配条件:选择“区域”,逻辑符选择“不属于”,匹配值选择“中国”。
- 处置动作:选择“拦截”。
通过这一条规则,你可以直接屏蔽掉所有来自海外的流量,从根本上杜绝了绝大部分利用海外IP发起的攻击,极大地减轻了服务器的压力。
🤖 第三招:识别自动化脚本的“指纹”——JA3拦截
这是非企业版套餐里一个非常强大的武器。JA3是TLS握手的指纹,能够识别发起请求的客户端工具。同一个自动化脚本或黑客工具,无论它怎么换IP,其JA3指纹通常是固定不变的。
- 操作步骤:
- 收集指纹:在百度云防护的【攻击日志】中,筛选出被拦截的疑似攻击请求,查看其请求详情,里面通常会有
ja3字段,记录下这个值。 - 创建规则:进入【自定义规则】→【添加规则】。
- 匹配条件:选择“JA3”,逻辑符选择“等于多值之一”,将你收集到的恶意JA3指纹填入。
- 处置动作:选择“拦截”。
- 收集指纹:在百度云防护的【攻击日志】中,筛选出被拦截的疑似攻击请求,查看其请求详情,里面通常会有
这种方式的杀伤力在于,只要识别出工具的指纹,就可以从传输层直接将其封杀。即使攻击者拥有海量IP,只要工具不变,就无法突破这道防线。
🚫 第四招:限制请求方法——堵住非正常通道
正常的短信验证码接口,客户端只会通过 POST 方法提交手机号。如果发现有人用 GET、PUT 等方法来请求你的接口,那几乎可以肯定是恶意扫描。
- 配置示例:
- 进入【自定义规则】→【添加规则】。
- 匹配条件:第一条选择“URI”包含你的短信接口地址;第二条选择“请求方法”,逻辑符选择“不等于”,匹配值选择“POST”。
- 处置动作:选择“拦截”。
⚠️ 一个需要留意的细节
- 关于JS挑战:专业版/商务版的自定义规则中通常也包含JS挑战功能。如果攻击者换IP攻击,我们可以对命中规则的请求开启JS挑战,而不是直接拦截。这可以过滤掉绝大部分不带JS执行能力的脚本,对正常用户几乎没有影响。
- 可能存在的误报:使用“区域封禁”时,如果存在海外华人正常访问,会被误伤。另外,如果你的用户使用公共Wi-Fi或移动基站网络,可能会触发某些规则,需要结合“白名单”或“观察模式”先进行测试和调整。
💡 主机吧的补充建议
除了上面这些WAF侧的配置,你还可以在应用层做一些配合,比如:
- 前端增加滑块或点选验证:在点击发送验证码前,要求用户完成一次人机验证。这对正常用户来说只是多一步操作,但对脚本而言是难以逾越的障碍。
- 增加前端加密:对请求参数进行自定义的加密或签名,提高脚本模拟请求的门槛。
希望这套组合拳能帮你稳住阵脚。如果在配置过程中遇到任何问题,或者需要我帮你分析一下具体的日志,随时再叫我。
