贡献榜 众测 知识 关于 登录
当前位置:WooYun(白帽子技术社区) >> 僵尸网络及肉鸡行为分析 >> 网站的openAPI接口被CC了有什么好的解决方案?
1.带宽还有90%才被打满,所以带宽不虚2.被打崩是因为一些开放的API被大量ip+access_key请求导致CPU100%了。比如获取RSA接口3.单ip限制次数可能会导致业务误杀,因为有近1/3的用户是校园网用户,校园网可能是几百人共用一个ip
要求带上cookie访问不含某cookie直接忽略并且还要优化一下你的api了,还有后端服务也要给力点。
加cpu,成本提高cookie,referrer 效果差ip限制 效果好,流失客户(分析的越仔细客户流失的越少)
@by灰客 你的api接口能获取cookies?api没有限速功能吗?如果没有 redis计数器配合一下很简单的
@by灰客 手机客户端表示不能加cookie
sign 时间错 整体加密
在Sign算法中加上出口IP怎么样……
1、ip黑名单2、优化操作系统内核参数3、百度加速乐~cpu 100%是是被ddos了么?
@无敌L.t.H 安卓那也是可以逆向出来的
@erevus 但是你可以根据IP WHOIS的分布进行请求数限制,就像你说的校园网访问多,那就将校园网的阀值设高点。
@erevus @冰比冰水冰 要求带上SESSION访问可以的吧?再外加一个什么值,来判断单次访问次数,这个值在云端对应,要求API接口无非就是POST或GET它呗?SESSION在客户端是存在COOKIE中的。
还有一个方案如果这个api是你自己在调用那么把他变为三步(参考 WEB版飞Q发送短信API)1、登陆 增加登陆接口,登陆后包含上次的登陆SESSION去做第二步。2、简单的一个接口肯定不会导致机器100%,不要总查询数据库进行相关计算3、不要总查询数据库进行相关计算,重要的东西要放在内存中!以上问题就变成了单人单号操作了,后台可监控单个账号查询次数(账号注册可模仿支付宝注册,一条短信验证码,然后返回账号)还有,模仿一下微软的时间校准api吧 那么多机器怎么就没C死他,优化程序为辅,升级硬件才是硬道理
网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地
登录