关于网站恶意注册，访问

现在很多网站提供用户注册功能，给用户的网络生活带来很大方便。 有光明的地方总会有阴影伴随。恶意注册，注册是指为了某种目的而大量的注册帐号，非正常访问网络服务的行为。它一方面造成数据库数据激增，服务器负荷过重，服务质量下降。同时占用大量网络资源，造成严重损失。

恶意注册，访问一般基于以下目的：
1，垃圾邮件，广告。现在垃圾邮件，广告贴满天飞，为什么封了号还会出来这么多广告？因为封了一个号又可以免费再注册一个号。并且只要花一点錢买个广告机器人，自动注册，自动发广告一切都不用操心。
2，某种商业目的。其实最早的dos攻击估计大家有所耳闻，其实原理很简单，就是很多机器同时向某个服务器发送请求，让服务器超载直至崩溃，这就是所谓拒绝服务攻击。经常上QQ的人应该知道，特别是在节假日的时候，服务器反应特慢，有时干脆就是连不上，特别是在访问相册这类数据量大的内容时。假想一下，如果有人注册了大量的帐号，同时放入大量的垃圾内容，严重影响了服务响应速度，客户还会耐心等吗？你能保证你的客户不会流向你的竞争对手吗？也许会有人说这把人想的太坏了，其实并不是这样的，我们只是防范于未然。
3，还有些就是挂机，赚积分。当然这些相比上面的是不足为道。也许当你的用户群体达到腾讯那个规模的时候你会觉得你的服务器跑起来像一头老牛。
4，暴力破解。也许有人会迷惑了，这与暴力破解有什么关系？那我得问了，暴力破解的原理是什么?利用某种词典程序，不断地尝试，直至找到正确的密码。对！你说对了。人们往往喜欢用一些有意义的号码，单词做为密码，简单易记。现在的词典程序算法很智能，只要词典做得好，它利用优先级能在很快的时间内尝试出正确的密码。速度提高可以达到几个数量级。如果不对登录进行验证，也许不出几天，你的所有客户信息就被挂到某个地方了，你就慢慢等着别人来投诉。

恶意注册，访问的防御方法：
1，限时限次。在用户首次注册的时候几下对方IP，或者保存cookies(遇到对方禁用cookies时也只能干瞪眼了)，如果第二次注册的时间没有达到一定的限制则禁止注册。同样，这个也可以用来消除恶意灌水。但是这个有个不足，对与一般用户来说，这个很有效，但是对于高手来说伪造一些客户端数据一点也不为难。
2，积分制。这个主要是针对访问，也就是恶意下载，恶意灌水。给用户一个初始积分，他下载或者发帖时会消耗一定的积分，只有通过某种其它途径才能赚取积分。这个可以有效限制上传下载，缺点很明显：用户很受限。
3，邮件激活。在用户注册的时候要求用户提供邮箱地址，然后给用户邮箱发邮件，让用户通过电子邮件中的链接激活。如果限制一个邮箱只能注册一个用户，那么，这种方法对自动注册机防御还是很有效的。
4，验证码。验证码应该是现在应用最广泛的方法了。其实它的原理很简单，就是给用户发送一组随机图片，然后让用户识别这组图片上的数字或字母。最开始的验证码是用静态的图片，基本上没有什么验证性。现在一般都是随机生成字母和数字，然后用图形学方法将其绘成一张图片。为了增加识别的难度，有的还会对这些符号进行拉伸旋转变形，然后加上噪音。考虑到色弱和色盲，给图片加上彩色背景噪音的比较少，一般都是在肉眼能够识别的范围内生成一些不规则曲线。如果色调搭配的好地话，带彩色背景的验证码也是可行的。比如csdn就是用带彩色背景，然后加上一些曲线噪音。很多大型网站都没有用彩色背景，如腾讯，百度就是随机字母数字，然后随机绘图点，加上旋转，曲线噪音。google的则是更巧妙，它就是利用拉伸，扭曲，这个给机器的模式识别造成极大困难。并且它的图像摆放也是很精妙，估计小孩读它的验证码会感到很吃力，人工智能估计就更难识别了。但是，前不久网上传闻说有人破解了google验证码。