当前位置：首页 > article >正文

上线当天注册接口被刷爆：我用滑块验证码 + 请求指纹把羊毛党拦在了网关层

article 2026/4/21 1:59:11

上线当天注册接口被刷爆我用滑块验证码请求指纹把羊毛党拦在了网关层上线第三个小时注册接口的 QPS 从平时的 120 飙到 3800。验证码服务炸了短信账单直接刷了半个月的预算。我打开监控面板看到一波 IP 地址每秒钟都在换但 User-Agent 永远是同一串——典型的羊毛党脚本攻击。这次不打算讲什么加强安全意识的空话。直接上方案我们在网关层做了一套滑块验证码请求指纹的联动防御把异常注册流量压回了正常水位。整个改动没有入侵业务代码从发现问题到上线只花了 6 个小时。攻击长什么样先看日志。正常的注册请求IP 分布是分散的每个 IP 平均 3-5 次请求。羊毛党的请求长这样同一秒内同一个手机号被重复提交 40 次以上IP 来自全国各地但请求间隔固定为 200ms明显是脚本控制User-Agent 伪装成 Chrome但缺少了Sec-CH-UA和Accept-Language的合法组合请求体里的手机号格式全部统一没有人类输入常见的停顿和纠错我拉了一条统计命令把嫌疑请求筛出来# 从 Nginx access.log 提取高频注册 IP1分钟内 50 次awk $7 ~ /\/api\/register/ { ip$1; ts$4 $5; gsub(/^\[/,,ts); gsub(/\]$/,,ts); bucketsubstr(ts,1,17); # 精确到分钟 keybucket ip; cnt[key]; if(cnt[key]1) first[key]$0; } END { for(k in cnt) { if(cnt[k]50) print cnt[k], k, first[k] } } /var/log/nginx/access.log|sort-rn|head-20结果出来前 10 个 IP 贡献了 73% 的注册流量。这些 IP 每隔 2 分钟就换一批但请求指纹几乎完全一致。方案选型为什么不用传统验证码第一时间团队有人提议加图片验证码。我说不行。传统图片验证码对羊毛党基本无效。现在的 OCR 识别率早就过了 95%打码平台 1 分钱一次脚本调用 API 就能自动过。图片验证码唯一的作用是把正常用户恶心走。滑块验证码不一样。它的验证逻辑不是你认不认识这张图而是你的拖拽轨迹是不是人类。羊毛党的脚本可以模拟位置但模拟不了加速度曲线、停顿习惯、和鼠标抖动的自然分布。我们选的方案是网关层滑块验证码请求指纹双重校验。网关层做意味着业务服务零改动双重校验意味着绕过一层还有第二层。滑块验证码的网关层集成我们的网关基于 Spring Cloud Gateway改起来很直接。第一步在注册路由上加一个前置过滤器。如果检测到请求指纹异常先弹滑块挑战通过之后才转发到下游的注册服务。ComponentpublicclassAntiSpamGatewayFilterimplementsGlobalFilter,Ordered{AutowiredprivateRedisTemplateString,StringredisTemplate;AutowiredprivateCaptchaServicecaptchaService;OverridepublicMonoVoidfilter(ServerWebExchangeexchange,GatewayFilterChainchain){Stringpathexchange.getRequest().getURI().getPath();if(!path.equals(/api/register)){returnchain.filter(exchange);}StringfingerprintbuildFingerprint(exchange);StringriskKeyrisk:fingerprint:fingerprint;StringriskScoreredisTemplate.opsForValue().get(riskKey);// 高风险指纹强制过滑块if(HIGH.equals(riskScore)){StringcaptchaTokenexchange.getRequest().getHeaders().getFirst(X-Captcha-Token);if(captchaTokennull||!captchaService.verify(captchaToken)){exchange.getResponse().setStatusCode(HttpStatus.FORBIDDEN);byte[]body{\code\:429,\msg\:\请完成安全验证\}.getBytes();returnexchange.getResponse().writeWith(Mono.just(body).map(b-exchange.getResponse().bufferFactory().wrap(b)));}}returnchain.filter(exchange);}privateStringbuildFingerprint(ServerWebExchangeexchange){HttpHeadersheadersexchange.getRequest().getHeaders();Stringuaheaders.getFirst(HttpHeaders.USER_AGENT);Stringacceptheaders.getFirst(HttpHeaders.ACCEPT);StringacceptLangheaders.getFirst(HttpHeaders.ACCEPT_LANGUAGE);Stringipexchange.getRequest().getRemoteAddress().getAddress().getHostAddress();// 组合核心特征做 MurmurHashStringrawString.join(|,ua,accept,acceptLang,ip.split(\\.)[0]);returnHashing.murmur3_128().hashString(raw,StandardCharsets.UTF_8).toString();}OverridepublicintgetOrder(){return-100;}// 确保在认证过滤器之前执行}这段代码的核心思路用User-Agent Accept Accept-Language IP 前三段拼一个请求指纹。指纹命中高风险的必须带合法的X-Captcha-Token才能放行。为什么用 IP 前三段羊毛党用的代理池 IP 经常来自同一个 /24 网段取前三段既能聚合同一批攻击又不会误伤正常小区宽带用户。滑块验证的后端实现滑块不是前端自己玩自己的后端必须验证轨迹。我们的验证模型很简单但有效。把用户的拖拽过程拆成 50ms 一个采样点记录每个点的(x, y, timestamp)。后端校验三条规则总时长在 800ms 到 4000ms 之间。机器脚本通常要么太快 300ms要么匀速每 50ms 固定偏移加速度不是常数。真实人类的拖拽有启动、加速、减速、微调四个阶段加速度曲线是抛物线形脚本通常是线性或正弦模拟终点有回退微调。人类放开水印块时有 60% 概率会有 3-10 像素的回退调整脚本几乎不会验证代码的核心逻辑publicbooleanverifyTrajectory(ListSlidePointpoints){if(pointsnull||points.size()10)returnfalse;longdurationpoints.get(points.size()-1).timestamp-points.get(0).timestamp;if(duration800||duration4000)returnfalse;// 计算加速度方差ListDoubleaccelerationsnewArrayList();for(inti2;ipoints.size();i){doublev1(points.get(i-1).x-points.get(i-2).x)/50.0;doublev2(points.get(i).x-points.get(i-1).x)/50.0;accelerations.add(v2-v1);}doubleavgaccelerations.stream().mapToDouble(d-d).average().orElse(0);doublevarianceaccelerations.stream().mapToDouble(d-Math.pow(d-avg,2)).average().orElse(0);// 人类加速度方差通常在 15-80 之间脚本方差要么接近 0要么异常大if(variance5||variance200)returnfalse;// 终点回退检测最后 100ms 是否有负方向移动inttailStartMath.max(0,points.size()-3);booleanhasRetreatfalse;for(intitailStart1;ipoints.size();i){if(points.get(i).xpoints.get(i-1).x)hasRetreattrue;}returnhasRetreat;// 人类基本都会有微调}这套规则上线后拦截了 94.7% 的脚本注册误判率正常用户被拦低于 0.3%。请求指纹的风控联动滑块是最后一道门前面还需要一个识别谁该被拦的机制。我们在 Redis 里维护了一个轻量的风控评分系统# 指纹评分规则Lua 脚本原子执行localfingerprintKEYS[1]localipKEYS[2]localphoneKEYS[3]localnowtonumber(ARGV[1])-- 维度1同一指纹1分钟内注册次数localfcountredis.call(zcount,fp:..fingerprint, now-60, now)iffcount3thenredis.call(setex,risk:fingerprint:..fingerprint,300,HIGH)returnBLOCKend -- 维度2同一 IP1分钟内注册次数IP 前三段聚合localipcountredis.call(zcount,ip:..ip, now-60, now)ifipcount10thenreturnBLOCKend -- 维度3同一手机号10分钟内被请求次数撞库/批量验证localpcountredis.call(get,phone:..phone)ifpcount and tonumber(pcount)5thenreturnBLOCKend -- 记录本次请求 redis.call(zadd,fp:..fingerprint, now, now..:..phone)redis.call(zadd,ip:..ip, now, now..:..phone)redis.call(incr,phone:..phone)redis.call(expire,phone:..phone,600)returnPASS三个维度同时监控指纹维度同一个设备指纹 1 分钟内超过 3 次注册直接标为 HIGH后续请求强制滑块IP 维度同一个 /24 网段 1 分钟内超过 10 次注册直接拒绝手机号维度同一个手机号 10 分钟内被提交超过 5 次拒绝防止撞库和短信轰炸这个 Lua 脚本放在 Redis 里用EVALSHA执行RT 在 2ms 以内对注册接口的延迟影响可以忽略。效果验证上线当天晚上我盯着 Grafana 面板看了两个小时。攻击前的基线正常注册 QPS120羊毛党注册 QPS3680占总流量 96.8%短信验证码发送3400 次/分钟防御上线后 30 分钟正常注册 QPS115轻微下降是因为多了滑块步骤但可接受羊毛党注册 QPS47被滑块拦截后剩下的漏网之鱼短信验证码发送128 次/分钟拦截率 (3680 - 47) / 3680 98.7%更关键的是误判率很低。我拉了一个小时的真实用户注册漏斗完成滑块验证的用户最终注册成功率是 91.2%。也就是说加了滑块之后只有不到 9% 的正常用户因为嫌麻烦而放弃——这个代价远比被羊毛党刷爆要低。写在最后很多人一提到防刷第一反应是买商业 WAF 或者接第三方风控 SDK。不是说这些不好而是它们往往需要改业务代码、加依赖、还要担心供应商的延迟和稳定性。我们的方案全部放在网关层业务服务连一行代码都不用改。滑块验证码自建成本几乎为零请求指纹用 Redis 维护2ms 延迟规则用 Lua 脚本原子执行没有竞态条件。如果你也在被羊毛党骚扰我建议先别急着买服务。拉一下你的 access.log看看攻击到底长什么样。很多时候几行 awk 加上一个轻量的网关过滤器就能解决 95% 的问题。剩下的 5%再考虑上商业方案也不迟。

上线当天注册接口被刷爆：我用滑块验证码 + 请求指纹把羊毛党拦在了网关层

相关文章：

上线当天注册接口被刷爆：我用滑块验证码 + 请求指纹把羊毛党拦在了网关层

【会议征稿通知 | 西华大学主办 | IEEE出版 | EI 、Scopus稳定检索】第五届新能源系统与电力工程国际学术会议（NESP 2026）

adobe acrobat pro 2024 经常无故退出，是什么原因，是破解不成功，还是那个序列号到期了，如何解决？

【会议征稿通知 | 中南大学主办 | IEEE出版 | EI 、Scopus稳定检索】第七届计算机视觉、图像与深度学习国际学术会议（CVIDL 2026）

梯度增强物理信息神经网络 (gPINN)求解矩形薄板力学正反问题（Python代码实现）

养老系统|养老系统定制|AI养老系统成品

PCIe设备驱动简要示例

号令天下专业版：祸害磁场中间夹0有什么影响

面向法律 Agent 的 Harness 不可否认性签名

死磕 CTF 必藏！20 个练习平台，让你从菜鸟一路冲到大神

KH Coder：无需编程的终极文本挖掘与内容分析完整指南

【2026年版｜收藏级】AI大模型学习保姆级规划，小白程序员零门槛入门指南

R 4.5并行计算提速仅1.8×？你漏掉了最关键的——自动向量化预编译（AVX-512适配+RcppParallel动态绑定配置）

TOOLS.md 机制详解（代码级解析）

测试数据生成术：合成数据工具

从“几周”到“几小时”：iSolarBP光伏设计软件一站式搞定光伏项目全流程

基于Flask和MySQL的维修管理系统这种框架适合快速开发web网页吗

雀魂牌谱屋：3步打造你的麻将数据分析中心，告别盲目游戏时代

基于Flask和MySQL的维修管理系统是否能让3-5家连锁店共用

2026最新｜零基础在Windows搭建AI Agent开发环境完整教程（附可运行代码）

5分钟掌握智慧树自动学习插件：让网课效率提升150%

Brigadier：企业级Mac驱动自动化部署的智能化解决方案

CSS如何制作响应式图片集布局_利用object-fit填充空间

【2026-MobaXterm_Personal_26.0 部署与使用教程】

企业级Boot Camp驱动自动化管理平台：Brigadier战略级解决方案

别再手动画图了！用ArcScene+ArcMap从钻孔数据到三维地层模型的保姆级流程

LED与蜂鸣器（预习）

DeepSeek融资3亿美元：是向资本低头，还是Agent时代的战略补给？

玄机靶场-第九章 blueteam 的小心思 3 WP

药物临床试验亚组分析指导原则（试行）