网站注册接口被攻击有什么解决办法?
by kholin |
modified
| 2 replies | link
| anchor |
目前网站的注册接口每个小时都有1到10次机器发送的请求,由于需要邮箱验证码,这些注册全部都没成功。每次请求都会换IP, 全球的IP都有,几乎找不到什么特征,只能肉眼根据用户名看出来一些风格特点,都是诸如“xDdfdGdd”这种大小写混合的随机字符串。
为了避免验证码被滥用,我给注册页面加上了Cloudflare的Turnstile, 目前虽然会在接收到这些机器请求后立刻返回403,但是并不能完全阻止他们继续发送请求。
想知道是否有办法从系统层面通过iptables这类工具完全屏蔽此类攻击?
-
by bean | link
| anchor |
之前见过用前端来监测鼠标键盘输入输入框的事件,判断是否是机器人操作,非人为操作清空输入框禁止发送请求,希望有帮助
-
by kholin | link
| anchor | parent |
这跟Turnstile效果是一样的,只能从网页端判断是否是人类,然而这些攻击是通过程序直接发送请求,绕过了网页端。我现在的需求是希望从服务器的防火墙层面来拒绝这些请求,但是这些IP总在换,难度比较大