今天我们介绍防刷策略前我们需要了解下常见的刷验证码短信的行为。

1.前端增加图文验证码
在获取验证码短信前增加图文验证码是较为常用的方法。攻击者一般是采用自动化攻击，增加图文验证码后，攻击者要对验证进行识别验证成功后才能进行模拟用户发送请求，这一步需要在页面中进行，无法采用自动化攻击。第一种攻击基本上失效，同时会增加第二种的攻击成本（有可能采用人工打码方式进行验证）选择验证码时既要考虑用户操作过程的流畅度，又应该考虑到安全度。

2.限制单个手机号每日接收短信次数和时间间隔
对单个手机号进行日接收次数的限制，可以防止单个手机号无限制刷短信，同时设置时间间隔可以有效，防止人工刷票。短信接收次数可以根据平台特点进行限制，一般日接受验证码短信次数为10次左右；同一号码发送时间间隔通常为60秒，前后台应保持一致，避免出现只前端做倒计时限制，后台未做限制这种低级错误。

3.对IP进行限制
对单IP最大发送量进行限制，可以有效防止单一IP下多手机号被刷的问题。最大发送量限制是防止恶意攻击者同IP下不同手机号进行刷短信验证码行为。根据平台实际情况设计一个短信最大发送量的阀值，超过阀值将不予返回短信。

4.对注册流程进行限定
一般来讲常被攻击的地方是注册页面，一般是从两方面进行触发流程的限定。
第一种，可以从前端写入指令，只允许在关网主页跳转入注册页面；
第二种方法是对注册流程进行分步，先进行账户密码设置，设置成功后才可以再进行下一步的短信验证。