当你做了已经做了防护:1分钟内同一IP调用3次就拦截,同一个IP只要触发过1次就不再发短信。但攻击者根本不和你玩“重复”——他们用成千上万个不同IP、不同手机号,每个IP只打一次,完美绕过你的所有规则。这种分布式低频攻击,就是冲着让你“防无可防”来的。
遇到这种情况,传统CC防护确实捉襟见肘。但百度云防护的企业版BOT功能,正是为此而生。
一、 为什么你现在的方案防不住?
先拆解一下攻击者的手法:
- IP池巨大:几百上千个IP轮换,每个IP只请求1-2次,IP频率限制直接失效
- 手机号也换:每个IP搭配不同的手机号,手机号频率限制也失效
- 请求量不大:每个IP的请求数甚至低于正常用户,智能CC也识别不出来
这种攻击的精髓在于:让每一次请求看起来都像“正常用户”。唯一的破绽是——这些请求来自自动化脚本,而脚本的行为模式和人不同。
这就是BOT防护的战场。
二、 核心解法:百度云防护BOT功能的“三层识别”
百度云防护企业版内置了完整的BOT防护能力,可以从三个层面识别并拦截这种分布式低频攻击。
第一层:AI智能防护——让系统学会“看”攻击
不要手动配置规则了,让AI自己学。
配置路径:Bot管理 → AI智能防护
- 开启AI智能防护开关
- 设置识别的Bot行为为“拦截”或“滑块”
- 系统会自动分析流量模式,识别出“看起来像人但其实是脚本”的异常行为
AI智能防护基于百度搜索等全系场景多年防爬规则积累,能自动学习正常用户的行为指纹,一旦发现请求不符合人类行为模式(比如没有鼠标轨迹、请求间隔过于规律),就会自动拦截。
第二层:风险识别——直接封杀“异常手机号”
这是对付“换手机号刷接口”的杀手锏。
配置路径:Bot管理 → 创建Bot规则模板 → 业务安全 → 风险识别
- 账号提取配置:
- 账号类型:选择“手机号”
- 账号位置:根据你接口传参方式选择(Cookie名称/Query参数/Body参数)
- 填写手机号字段名(如
mobile或phone)
- 风险标签配置:
- 勾选“机器注册”:疑似使用非法工具进行用户注册
- 勾选“营销作弊”:疑似使用非法工具参与营销活动
- 勾选“风险账号”:疑似使用非法工具参与秒杀等
百度云防护内置了手机号信誉数据库,能识别历史上存在异常行为的手机号。一旦某个手机号被标记为“机器注册”或“营销作弊”,直接拦截,连验证码都不会发。
第三层:自定义BOT策略——封杀“批量IP”
如果你发现攻击IP来自某些特定类型的IP段,可以用这个功能一锅端。
配置路径:Bot管理 → 创建Bot规则模板 → 自定义Bot策略
添加条件组:
- IP动态情报 → 选择“公共出口IP”(小区运营商、办公网络等共享NAT出口)
- IP动态情报 → 选择“高危IP”
- IP地域情报 → 选择“海外IP”(如果你的业务只面向国内)
处置动作设为“拦截”。
公共出口IP是攻击者最喜欢的资源——用真实家庭宽带IP,绕过了数据中心IP黑名单。百度云防护的IP动态情报库能精准识别这些IP,直接把攻击的“原料”封死。
三、 完整配置步骤(照着做就行)
前提条件
- 已开通百度云防护企业版(BOT功能仅企业版支持)
- 已将域名接入WAF
第一步:开启AI智能防护
- 登录百度云防护控制台 → 【配置中心】→【Bot规则】→【创建Bot规则模板】
- 填写模板名称,防护场景根据需要定义
- 在“Bot行为识别”中,勾选【AI智能防护】
- 设置动作为“拦截”
- 保存模板
第二步:配置风险识别(核心!)
- 在同一模板中,找到“业务安全”区域
- 开启【风险识别】
- 账号提取配置:
- 账号类型:选择“手机号”
- 账号位置:根据你接口传参方式选择(Cookie名称/Query参数/Body参数)
- 填写手机号字段名(如
mobile)
- 风险标签配置:勾选“机器注册”、“营销作弊”、“风险账号”
- 设置动作为“拦截”
第三步:添加IP情报策略
- 在同一模板中,找到“自定义Bot策略”区域
- 点击【添加策略】
- 匹配条件选择“IP动态情报” → “属于” → 勾选“公共出口IP”和“高危IP”
- 设置动作为“拦截”
- 保存模板
第四步:应用模板到域名
- 在Bot规则列表页,找到刚才创建的模板
- 点击【关联域名】
- 选择需要保护的短信接口所在域名
- 确认保存
四、 为什么这套方案能搞定?
| 攻击手法 | 你的老方案 | 新方案(BOT防护) |
|---|---|---|
| 换IP | 防不住 | AI智能防护识别行为模式差异 |
| 换手机号 | 防不住 | 风险识别直接封杀异常手机号 |
| 用真实家庭宽带IP | 防不住 | IP情报库识别公共出口IP |
| 模拟浏览器 | 防不住 | 加上JS校验/动态令牌后,脚本无法执行 |
这套方案的核心理念是:不再和攻击者拼“换”的速度,而是识别“谁在发起请求”。IP可以换、手机号可以换,但脚本的行为模式、脚本所用的IP类型、脚本发出的手机号在历史上的劣迹,这些是换不掉的。
五、 预算提醒
BOT防护功能需要企业版套餐才支持。根据百度云防护的套餐信息:
- 专业版/商务版:不支持BOT防护和威胁情报
- 企业版:2999元/月,包含BOT防护、设备情报+IP情报
如果你的网站经常被这种分布式攻击困扰,这个投入是值得的——被刷一天短信的损失,可能就超过一个月的防护成本。
如果你暂时不考虑升级企业版,也可以先用智能CC+精准CC顶一下,但坦白说,对于“不同IP不同手机号”的攻击,效果有限。
六、 主机吧建议
你现在的防护思路很清晰,但面对分布式低频攻击,传统频率限制确实到了天花板。BOT防护的核心价值在于:不依赖频率,而依赖“身份识别”。
- 识别请求来自脚本还是人(AI行为分析)
- 识别手机号是不是黑产工具(风险库)
- 识别IP是不是攻击者常用的出口(情报库)
当攻击者发现你的接口会“看”这些时,攻击成本就会飙升,自然就转移目标了。
如果你需要帮助配置企业版BOT规则,或者想评估自己的业务是否需要升级,欢迎联系主机吧。我们提供免费安全评估和配置指导,帮你把每一条短信都锁死。
主机吧 | 百度云防护官方合作伙伴
提供WAF接入、高防CDN、高防IP、高防服务器、SSL证书一站式服务
让分布式攻击无处遁形,让每一条短信都发到真人手上。
