Как предотвратить DDoS-атаку при проверке смс аккаунта

Question

У меня есть приложение, в котором пользователи регистрируют и вводят данные своего мобильного телефона и другие данные. Чтобы убедиться, что пользователь действителен, перед тем, как сохранить его в своей базе данных, я отправляю смс пользователю с кодом. И после этого они должны ввести код в форме.

Проблема в том, что мой провайдер смс взимает плату, если я пытаюсь отправить смс, даже если номер телефона не действителен.

Как предотвратить DDoS-атаку на мое приложение, которое будет каждый раз отправлять попытку отправки SMS-сообщений (даже если номер недействителен)?

Answer 1

Есть пара вещей, которые вы должны попробовать.

Прежде всего, вы должны попытаться уменьшить вероятность DDOS-атаки, включив капчу.

Хотя это затруднит DDOS-атаку, это не сделает это невозможным. Чтобы предотвратить настоящую DDOS-атаку, вам НЕ нужно мгновенно выполнять SMS-запросы и вместо этого помещать их в очередь. Имея отдельный процесс, который может быть четко определен, имеет ограничения по скорости и отображение «сообщения может занять до 15 минут» на вашем веб-сайте, вы значительно усложните создание ресурсов.

Последний но, что не менее важно, выполните проверку номера телефона перед отправкой сообщений и отслеживайте, сколько запросов было отправлено на определенный номер за последние 30 минут. Ограничьте количество запросов уникального номера до 2 запросов за 30 минут.