想了很久睡前还是讲一讲 因为看到标题 API 想到最近的各种抢
抢 Switch 抢票 抢 xxoo 然后就有人在问 为什么不限制 为什么不加上一个
图形识别就好 这么简单还要问? 其实没这么简单 因为不是什么专业的工作说明
我就不写得很细了 有兴趣的可以自己找资料
图形识别 Captcha 这个已经被认为是无效的 因为翻久了就可以翻出同样的
更不用说随手 Google 就可以翻出一堆 Bypass 机制 但为什么现在主流还是用这个
因为简单嘛 反正挡一个是一个造成不方便就不是他的事了
所以又有人说了 那不会用 Google ReCaptcha ? 这个也被证实可以被 Bypass
做这两个一点都不容易 因为常态性的放置上去 会造成系统的负担 跟维护困难
所以我一直在想这些使用的网站 遇到大流量到底撑不撑得住
回到机器人行为 要想讲一下不是大流量会搞挂系统 而是连线数 所以政府每年攻防演练
发生过一个笑话 明明流量打不高 但是系统挂了 主要就是连线数太高
常常发生的是 网站没挂 但是购物车加不进去 或是要一直登入系统 就是后端 DB 挂了
怎么防 DB 不会挂 这个不是这边的问题就不说了 来讲正题
网页板 这个阻挡最容易 为什么
1. 检查有没有 Cookie
当使用者连上来时 先塞一个 Cookie 然后看看这个 Cookie 是不是被重复使用
或是没有看到 Cookie (Script 没办法带 Cookie)
2. 检查有没有重复 IP
3. 检查是不是使用 Browser (这个可以写个 JS 去检查)
4. 检查 User Agent
通常上面三点就可以挡死一半以上的抢购行为 也有人提出一个做法 把网页 Hash 过
然后让人找不到进入点 点子很棒 但是你需要一台设备去解码 流量负担更重
有几个企业在用 我不好说是哪几间 也不要来问我 :p
Native App 这个阻挡比较难 但也不会很难 因为你 Autofill 很容易抓出来
或是用流程方式去抓
简单写一下因为有人喊我去睡了 我只是看到一堆人在喊怎么挡机器人行为
忍不住写一写 不太想写 Blog 太累