短信轰炸、短信炸弹，是指通过恶意程序，利用从各个网站上找到的动态短 URL （比如验证码发送的URL)和 前端输入的被攻击者手机号码,发送 HTTP 请求,每次请求给用户发送一个动态的短信（比如验证码短信）。 最终的效果，就是朝许多无关的手机用户，发送很多验证码短信。导致手机用户被骚扰。

碰到轰炸，首先要：确认轰炸/攻击来源，判断是哪个注册入口遭到攻击 基础防范措施: 增加手机号有效性监测，过滤无效号码 在注册页面添加一个参数，保存在session中随机验证，发短信前验证下请求是否是是由注册页面发起的 同一个号码单位时间内发送次数限制 同IP请求次数判断与限制 同设备请求次数判断与限制 建议使用https，防止传输明文数据被分析 对请求的增加效验机制： PC端，微信端图片验证码，程序前后端需进行效验，并且满足“填错或不填图片验证码，不允许用户获取短信验证码”的逻辑。建议添加滑块验证等较高级的验证方式。 对请求增加其他效验机制，例如APP端增加版本号效验等等。 在登录页面增加账号检验等功能。 限制用户请求来源： 微信端、APP端的注册入口，需要对来自PC端的请求做限制和过滤，主要是大多数恶意程序都是来自PC端的。