如何防范黑产攻击

2020-12-24 17:38 阅读

黑产攻击的类型有很多,经常会碰到的有灌水、刷短信。黑产会通过爬虫寻找目标,通过关键字就能找到目标网站。

黑产的能力

模仿真人操作

黑产的攻击可以很好的模拟人的操作,而非简单的脚本。大概是使用了selenium之类的软件,控制浏览器进行操作,和真人访问几乎没有区别。甚至连采用行为验证的拖动验证码都可以模拟出来。

参考资料:破解极验验证码

验证码自动识别

由于人工智能的发展,机器识别字符、数字、汉字的验证码甚至要超过人类。一些连人类都难以辨认的验证码,机器反而有更高的识别率。不管是黏连、重叠、扭曲、空心字、反色字、复杂背景、干扰线,都不在话下。即使自己没有这么高级的识别技术也没关系,网上有现成的服务,识别一个验证码成本不到1分钱。

验证码识别平台:超级鹰

如果实在不能机器识别,还有大招:人工验证码识别。成本也就几分钱一条。

IP代理

既然验证码阻止不了,那么就限制IP吧。to young to simple。随便一家IP代理公司都号称有百万甚至千万IP。如果想的话,一个请求换一个IP都不是问题。限制IP只是防君子防不了小人的做法。

接码平台

手机验证码也不好使,都是自动接收的。还有自动接码平台,大概要多少手机号都不是问题吧。

如何防范

第三方验证码

一般的验证码已经基本形同虚设,从而出现了大量第三方的验证码,如极验验证、网易云盾、腾讯云天御验证码、数美科技等。

验证码是防止被自动化攻击的最关键手段。由于图形验证码被破解,提出行为验证码的概念,就是不仅检查客服端提交的最终验证数据,还要检查用户在浏览器操作的行为。比如拖动验证码要校验拖动过程,如是匀速拖动的,就判定为机器人。号称通过大数据学习,可以识别怎么样拖动的是真人,而不是机器人。并通过IP地址等信息判断用户的危险性。

实际效果如何还不知道,有人通过模仿真人拖动的方式通过了验证。由于大量的代理IP,通过IP地址判断用户的危险性也不知可行性如何。

除了拖动验证码,还有点选验证码。主要是使用汉字加上坐标。但超级鹰可以轻松的识别汉字,以及汉字的坐标。有效性也让人怀疑。

国外的网站主要使用图片识别。如找出所有有船的图片。这样的验证码成本非常大,需要收集大量的图片。只能由第三方专业的验证码公司来做。

过滤虚拟号段

手机号码也许是唯一还有一点意义的东西,毕竟一个身份证只能办理5个号码。但是虚拟运营商的虚拟号段必须禁止。

IP限制

限制总比不限制好吧,否则连IP代理都免了。

非法字符过滤

黑产灌水主要是为了做广告,过滤关键字是必须的。

杀招

短信上行验证。让用户发短信到指定平台,可极大的拉高攻击成本。但对用户非常不友好,大部分用户都非常排斥自己发短信的,除非不得已。

图灵测试

就是答题了。设置题库,并且最好每天都有增加。题库最好和网站主题相关的内容,或者其它一些人能回答,但机器回答不了的问题。要注意避免机器使用搜索引擎答题。

咨询
交流群
电话