網上系統的襲擊

今日聯播系統遇到了一個輕微的襲擊, 就是有人連續註冊了二十多個帳戶, 登入編號都是用幾百個 'a ' 字.

公開的網上應用系統就是會遇到這些問題, 這點我早己知道的, 亦有考慮過, 所以除了會員註冊和更改個人資料外, 沒有其他地方可以任由會員輸入.

今次的襲擊應該是人為的 (我有他的IP Address 218.189.2XX.XX (不便在此公開), 因為只有二十個帳戶, 如果是由系統來襲擊, 就可能有超過幾萬個資料了. 難道我要加入 "驗證功能" 嗎?

今次我簡單地限制了輸入字數 (例如編號不能多個20字), 就算真的加入幾萬個會員資料, 因為這些會員都是 inactive 的, 過了一段時間, 我可以叫系統自動刪除. 這亦不會影響到現有的用家, 為了保持簡單的註冊程序, 暫不加"驗證功能"吧.

其實網上應用系統的襲擊還有很多, 最難解決的是Stress Attack, 例如利用一些系統, 就能在幾秒時間query系統幾萬次, 做成系統慢下來, hang hang 地. 你可以用這方式Attack 任何網站, 不過如果你用這方式, 就會被人知道你的IP, 供應商只要把你IP和使用時間向ISP查詢, 就能找你出來了, 所以你不要亂來吧!