2017年8月14日,晚上十一点半,杭州的出租屋里空调嗡嗡作响。我盯着屏幕上那条陡峭的曲线,感觉后背有点发凉。那是我自己搭的SaaS后台,刚开放测试不到48小时,注册接口的请求量像坐了火箭一样往上窜。一开始我还傻乐,以为哪个渠道爆了,直到看见后台里那一串串用随机字母和数字组成的用户名,还有同一个IP下注册的几十个账号。
报应来了。
真的,我当时脑子里就这俩字。32岁,前两年我还蹲在电脑前,用Python脚本模拟请求,去薅那些电商平台的优惠券,研究怎么绕过人家的滑块验证。那时候觉得自己特聪明,像个数字世界的独狼黑客,用技术“白嫖”资源是天经地义。现在呢?角色互换,我成了那个被一群不知道藏在哪里的脚本小子围攻的靶子。看着服务器监控里CPU使用率快飙到红线,我真是又气又想笑,这他妈就是出来混迟早要还的。
他们手法其实挺糙的,但架不住量大。典型的“广撒网”式攻击。不用管验证逻辑,就是拿一堆代理IP,配合自动生成的邮箱和手机号(很多是虚拟号段),疯狂调用我的注册接口。目的?要么是注册大量垃圾账号占我服务器资源,要么就是等以后我搞活动,用这些账号来批量领优惠、薅羊毛,甚至可能把我的服务当成一个免费的代理池或者短信接码平台来用。这已经不是简单的恶作剧了,这是在反向薅我的羊毛,把我当成了肉鸡。
不能再等了。功能可以先放放,安全防线必须立刻筑起来。不然别说赚钱,光是短信验证码的费用和服务器开销就能让我这刚起步的小项目直接破产。
第一道防线,也是最紧急的,得先把洪水一样的请求给拦住。我立刻想到了Redis。对,就用它来做分布式环境下的接口限流(Rate Limiting)。思路很简单,但实现起来每个细节都得抠。我以IP地址为Key,在Redis里设置一个计数器,时间窗口设为一分钟。同一个IP在一分钟内,对注册接口的请求次数超过某个阈值(比如10次),就直接返回429 Too Many Requests。这能立刻打掉那些无脑并发的脚本。
但光这样不够。对方会用代理IP池,打掉一个换一个。所以第二层,是建立恶意IP库。我把那些触发限流的IP,还有那些注册了明显垃圾账号的IP,都扔进一个Redis的Set里。下次请求过来,先查一下这个黑名单。同时,我写了个简单的脚本,去爬取一些公开的代理IP库和已知的恶意IP段,定时更新到我的黑名单里。这叫借力打力,用别人的情报来加固自己的城墙。
短信验证码成了成本中心,也是攻击的重点目标。我不能取消,因为这是验证真实用户的重要环节。但可以加策略。比如,同一个手机号,24小时内最多获取三次验证码。获取验证码前,先做一个简单的图形验证码(虽然这玩意儿也能被OCR破解,但能增加攻击成本)。更重要的是,我得监控短信发送的成功率和后续的注册转化率。如果一个IP或一个号段下,大量请求验证码但极少完成注册,那这个源头大概率有问题,可以直接把整个IP段临时拉黑一段时间。
设备指纹是更进阶的玩法。我当时没上太复杂的方案,但做了最简单的:在用户请求验证码或提交注册时,用JavaScript收集一些浏览器环境信息,比如User-Agent、屏幕分辨率、时区、安装的插件列表(如果允许的话),生成一个简易的哈希指纹。同一个指纹短时间内尝试注册过多账号,即使IP换了,也能被识别出来并加以限制。这招对付一些低成本的攻击脚本特别有效。
搞完这些,天都快亮了。我瘫在椅子上,看着监控曲线终于恢复了平缓,只有零星几个正常的请求在跳动。那种感觉很奇怪,不是胜利的喜悦,而是一种深深的疲惫和后怕。
做SaaS,或者说做任何面向公众的在线服务,你才会真正理解,安全从来不是功能列表上的一个复选框。它是地基,是空气,是你业务能存活下去的前提。你展示给用户的所有炫酷功能,都建立在你后台这些枯燥、甚至有些“肮脏”的攻防逻辑之上。你今天写的每一行防御代码,可能都是在为过去某个时刻,那个试图钻别人空子的自己“赎罪”。
技术没有善恶,但用技术的人有。当你从规则的破坏者,变成规则的守护者时,视角会彻底颠覆。你开始理解那些大平台为什么有那么多“反人类”的验证步骤,为什么动不动就封号。那不是他们蠢,而是他们在面对一个庞大、狡猾且永不疲倦的黑暗森林时,不得不做出的妥协。
我的SaaS还能活下去吗?不知道。但至少今晚,我守住了。用Redis,用一堆策略,用熬红的双眼,守住了这个刚刚搭起来、还无比脆弱的数字小摊。
下次再写爬虫脚本的时候,我可能……会手下留情一点?
算了,大概也不会。这就是江湖吧。
