尽管已进入移动互联网时代，人们很少通过短信交流。但是，作为可靠的通信渠道，大家常通过短信接收通知，例如：验证手机号码、通知余额或优惠等。

在友好速搭的基础设施中，就包括可靠的短信发送通道。主要目的，是帮助商家，向顾客发送触发型短信。典型的使用场景，就是顾客通过手机号注册，或者通过手机号找回密码时，顾客无需登录帐号，就可以向输入的手机号码，发送验证码短信：

但在近期，通过短信通道的日志，发现系统的发送短信不正常，在同家店铺的同一时段，会有密集的手机验证码短信发出： 通过请求日志，发现这些发送手机注册验证码的请求，并没进一步完成注册： 从而可以判定，我们正遭受短信轰炸攻击。这种攻击方式，主要是融合不同产品的短信发送接口，通过不同 IP 的肉鸡，向指定手机循环发送垃圾短信，对指定手机达到骚扰目的。通常情况下，手机注册功能，用户无需登录，就可以发送验证手机号码的短信。这类发送短信的接口，很容易被利用，被打包进短信轰炸机。可以在网上找到很多短信轰炸机产品：

对友好速搭来说，成为短信轰炸机的傀儡，会导致商家的短信额度，被无故消耗，短信的成本并不低，会带来损失。更严重的，还可能导致运营商，封停友好速搭的短信通道。作为服务商，如何有效屏蔽，这类恶意发送短信的请求？

由于请求来源 IP 并不固定，骚扰的手机号码也不固定，通过 IP 和手机号码，都无法有效防御。简单有效的，就是通过图片验证码，来区分人机请求。我们已经在有风险的短信接口，增加了图片验证码，输入正确的验证码，才能发送短信：

由于图片验证码，也会有被自动识别的风险，所以除此之外，我们还针对有风险的短信发送接口，增加如下限制：

• 相似内容发送频率很高，不发送后续相似内容
• 单个手机号码，单日短信发送量有上限

经过以上三个业务改进后，通过请求日志和短信记录，已看不到恶意短信发送迹象。看来，短信轰炸机反应挺及时，会及时更新傀儡接口。