我正在開發一個簡單的Web服務,允許用戶免費註冊並上傳少量數據。我可以輕鬆爲每個用戶建立配額,但惡意用戶可能會創建假賬戶,以便在拒絕服務攻擊中上傳儘可能多的數據。防止虛假賬戶
顯然,有對這種類型的攻擊沒有完美的防守,但我們能做些什麼來緩解這一問題?
我正在開發一個簡單的Web服務,允許用戶免費註冊並上傳少量數據。我可以輕鬆爲每個用戶建立配額,但惡意用戶可能會創建假賬戶,以便在拒絕服務攻擊中上傳儘可能多的數據。防止虛假賬戶
顯然,有對這種類型的攻擊沒有完美的防守,但我們能做些什麼來緩解這一問題?
領帶它爲更或多或少唯一標識符(電話號碼,銀行賬號,臉譜/谷歌/等帳戶),或一種有限的資源(如時間,通過使用驗證碼)。
我的計劃是要求用戶驗證他們的電子郵件地址並解決reCAPTCHA,或者用FB/Google/Twitter登錄,他們都驗證電子郵件地址並要求使用CAPTCHA;他們處理虛假賬戶的系統至少和我一樣好。 –
當用戶登錄時,用戶提供了一個有效的電子郵件。大多數帳戶不是啓用直到收到回覆,通常通過單擊該電子郵件正文中的鏈接。收到點擊後,您應該可以獲取IP地址。這應該可以幫助你減少大量的偶然DOS攻擊。
只要記錄IP並且假設IP在一段時間間隔內沒有改變就採用相同的用戶。這很糟糕,因爲它會阻止同一屋內的多個用戶(相同的IP),但這是一個好的開始。
有沒有什麼可以做_really_,除非你需要電子郵件驗證和黑名單中的所有主要的免費信箱提供商(然後你不會有任何的用戶!)。即使這樣也不能阻止某人的惡意行爲,但只需要5分鐘的時間。 – Damon
不要爲此而失眠......無論您爲防止DOS攻擊付出多少努力都無所謂 - 其他人正在找到一種方法在實施後5分鐘內破壞您的算法... – IAbstract