阻止脚本攻击你的网站

I've accepted an answer, but sadly, I believe we're stuck with our original worst case scenario: CAPTCHA everyone on purchase attempts of the crap. Short explanation: caching / web farms make it impossible to track hits, and any workaround (sending a non-cached web-beacon, writing to a unified table, etc.) slows the site down worse than the bots would. There is likely some pricey hardware from Cisco or the like that can help at a high level, but it's hard to justify the cost if CAPTCHA-ing everyone is an alternative. I'll attempt a more full explanation later, as well as cleaning this up for future searchers (though others are welcome to try, as it's community wiki).

情况

这是关于woot.com上的垃圾销售。我是Woot Workshop的总统，Woot Workshop是Woot的子公司，负责设计，撰写产品描述，播客，博客文章，并主持论坛。我使用CSS/HTML，对其他技术几乎不熟悉。我与开发人员密切合作，在这里讨论了所有的答案(以及我们的许多其他想法)。

可用性是我工作的重要组成部分，而让网站变得令人兴奋和有趣则是剩下的大部分工作。这就是下面三个目标的来源。验证码损害了可用性，机器人从我们的垃圾销售中偷走了乐趣和兴奋。

机器人一秒钟就会在我们的首页上猛击数十次屏幕抓取(和/或扫描我们的RSS)，以寻找随机垃圾销售。他们一看到这个，就会触发程序的第二阶段登录，点击“我要一个”，填好表格，然后买下这些垃圾。

评价

lc:在stackoverflow和其他使用此方法的站点上，他们几乎总是处理已验证(登录)的用户，因为正在尝试的任务需要这样。

在Woot上，匿名(未登录)用户可以查看我们的主页。换句话说，撞击机器人可以不经过身份验证(除了IP地址之外基本上无法跟踪)。

所以我们又回到了扫描IP, a)在这个云网络和垃圾邮件僵尸的时代是相当无用的，b)考虑到来自一个IP地址的业务数量，捕获了太多无辜的人(更不用说非静态IP isp的问题和试图跟踪它的潜在性能影响)。

还有，让别人给我们打电话是最糟糕的情况。我们能让他们给你打电话吗?

布拉德克:内德·巴切德的方法看起来很酷，但它们是专门设计来击败为网络站点构建的机器人的。我们的问题是机器人是专门用来破坏我们网站的。其中一些方法可能只在很短的时间内有效，直到脚本编写人员将他们的机器人进化为忽略蜜罐，从屏幕上抓取附近的标签名称而不是表单id，并使用支持javascript的浏览器控件。

lc再次说道:“当然，除非炒作是你们营销计划的一部分。”是的，绝对是。当物品出现时的惊喜，以及当你设法得到一件物品时的兴奋，可能比你实际得到的垃圾一样重要，甚至更重要。任何消除先到/先得的东西都不利于“赢”的快感。

novatrust:就我个人而言，欢迎我们新的机器人霸主。我们实际上提供RSSfeeds，允许第三方应用程序扫描我们的网站的产品信息，但不是在主站HTML之前。如果我的理解正确的话，你的解决方案通过完全牺牲目标1来帮助目标2(性能问题)，并放弃机器人将购买大部分垃圾的事实。我给你的回答投了赞成票，因为你最后一段的悲观情绪对我来说是准确的。这里似乎没有什么灵丹妙药。

其余的响应通常依赖于IP跟踪，这似乎是无用的(僵尸网络/僵尸/云网络)和有害的(捕获许多来自相同IP目的地的无辜的人)。

还有其他方法/想法吗?我的开发人员一直在说“让我们只做验证码”，但我希望有更少的侵入性方法，让所有真正想要我们的垃圾的人。

最初的问题

假设你卖的东西很便宜，但有很高的感知价值，而你的数量非常有限。没有人确切地知道你什么时候会卖这个东西。超过一百万人经常来看你卖什么。

你最终会发现脚本和机器人试图通过编程方式[a]找出你何时出售该道具，[b]确保他们是第一批购买该道具的人。这很糟糕，有两个原因:

你的网站被非人类攻击，拖慢了所有人的速度。编剧最终“赢得”了产品，让常客感到被骗了。

一个看似显而易见的解决方案是为用户在下单前设置一些障碍，但这至少有三个问题:

The user experience sucks for humans, as they have to decipher CAPTCHA, pick out the cat, or solve a math problem. If the perceived benefit is high enough, and the crowd large enough, some group will find their way around any tweak, leading to an arms race. (This is especially true the simpler the tweak is; hidden 'comments' form, re-arranging the form elements, mis-labeling them, hidden 'gotcha' text all will work once and then need to be changed to fight targeting this specific form.) Even if the scripters can't 'solve' your tweak it doesn't prevent them from slamming your front page, and then sounding an alarm for the scripter to fill out the order, manually. Given they get the advantage from solving [a], they will likely still win [b] since they'll be the first humans reaching the order page. Additionally, 1. still happens, causing server errors and a decreased performance for everyone.

另一种解决方案是经常监视ip攻击，阻止它们进入防火墙，或以其他方式阻止它们排序。这个可以解2。和阻止[b]，但扫描ip对性能的影响是巨大的，可能会导致更多像1这样的问题。比编剧自己造成的还要严重。此外，云网络和垃圾邮件僵尸的可能性使得IP检查相当无用。

第三个想法，强迫订单表单加载一段时间(比如半秒)，可能会减慢快速订单的进度，但同样，脚本编写人员仍然是第一个进入的人，在任何速度下都不会对实际用户造成损害。

目标

将道具卖给非脚本人。保持网站运行的速度不被机器人减慢。不要让“正常”用户完成任何任务来证明他们是人类。

当前回答

我不知道这是否可行:……主动出击。

搞清楚机器人在扫描什么数据。给他们提供他们正在寻找的数据，当你不卖垃圾时。以一种不会打扰或迷惑人类用户的方式进行此操作。当机器人触发第二阶段时，他们将登录并填写表格，购买100美元的roomba，而不是BOC。当然，这是假设机器人不是特别健壮。

另一个想法是在促销期间随机降价。当你明确声明它只值20美元时，谁会花150美元买一袋垃圾?没有人，只有狂热的机器人。但9分钟后就变成了35美元…17分钟后是9美元。之类的。

当然，僵尸国王能够做出反应。关键是要让他们的错误变得非常昂贵(并让他们付钱给你来与他们战斗)。

所有这些都假设你想要惹恼一些机器人领主，这可能不是100%可取的。

2009-02-07 06:58:46

其他回答

我喜欢BradC的回答(使用Ned Batchelder文章中的建议)，但我想在此基础上再增加一个层次。您不仅可以随机化字段名称，还可以随机化字段位置和使它们不可见的代码。

Now, this last bit is hard part and I don't know exactly how to do it, but someone with more JavaScript and CSS experience might be able to figure it out. Of course, you can't just keep the same positions all the time, because the scripters will just figure out that the element with position (x,y) is the real one. You would have to have some code that changes the positioning of form elements relative to other elements in order to move them off the page, overlay them on each other, etc. Then obfuscate the code that does this with some randomness introduced into it. Automatically change the obfuscation daily, before a new item is made available. The idea is that without a proper CSS and JavaScript implementation (and code to read layout of the page as a human would) a bot won't be able to figure out which elements are being shown to the user. Your server-side code, of course, knows which fields are real and which are fake.

总而言之:

字段名是随机的字段顺序是随机的字段隐藏代码很复杂字段隐藏代码是随机混淆的服务器端代码每天自动更改随机因子

在你给出的限制条件下，我不认为有办法避免某种形式的“军备竞赛”，但这并不意味着一切都完了。如果你能在军备竞赛中实现自动化，而编剧不能，那么你每次都能获胜。

2009-02-08 01:15:10

目标的一个可能的解决方案，不一定是问题的标题:

Instead of serving up the special deal to everyone, serve it to random sets of ip addresses at a time. For instance, partition the IP space into 256 unique blocks, and at time=0, only allow people with ip addresses in the first block, and at time=5 seconds, allow people from the first block and the second block... until the last time slot arrives, and allow everyone to see the deal. One idea to randomize it would be to take the least significant bits of the md5/sha of their IP plus some salt based on the deal.

这将允许脚本编写人员拥有接近于零的响应时间，以及拥有多个ip地址的优势，但这将意味着给定的机器人与其他因ip地址而比他们“幸运”的客户相比没有任何优势。

将这一点与其他一些想法结合起来似乎是个好主意。

2009-02-08 09:31:46

免责声明:这个答案完全与编程无关。但是，它确实试图从一开始就攻击使用脚本的原因。

另一个想法是，如果你的销售数量确实有限，为什么不改变先到先得的方法呢?当然，除非炒作是你营销计划的一部分。

还有很多其他的选择，我相信其他人也能想到一些不同的选择:

an ordering queue (pre-order system) - Some scripts might still end up at the front of the queue, but it's probably faster to just manually enter the info. a raffle system (everyone who tries to order one is entered into the system) - This way the people with the scripts have just the same chances as those without. a rush priority queue - If there is truly a high perceived value, people may be willing to pay more. Implement an ordering queue, but allow people to pay more to be placed higher in the queue. auction (credit goes to David Schmitt for this one, comments are my own) - People can still use scripts to snipe in at the last minute, but not only does it change the pricing structure, people are expecting to be fighting it out with others. You can also do things to restrict the number of bids in a given time period, make people phone in ahead of time for an authorization code, etc.

2009-01-16 16:12:26

我所读到的大多数解决方案最终都退化为一种反移动的情况，并不能抑制人们按照“公平竞争规则”进行游戏的积极性。

你有没有想过有目的的性能限制/影子禁止?如果你检测到来自一个IP的大量命中，你的CGI脚本是否故意延迟响应-或者让他们没有资格赢得该物品?

So If you say set a cookie on the system and you see it hitting you more than X per interval of time, you start delaying the responses more and more. If you see cookie X continue this behavior for some interval of time, you set the dreaded 'Can not win today come back tomorrow flag' and dont tell them - that way, even if they win, they still loose. If you have several parameters like this that would be easily/randomly tweekable, you could be changing the rules all the time in such a way that it would keep out the bots - but humans wouldnt even notice. Maybe you could have a login have a delay of X seconds - where the delay is depended on that IP addresses history of hits/logins :)

只是一两个想法

2022-12-26 07:14:47

构建一个更好的机器人

市场告诉你一些事情。他们想要那袋垃圾。所以与其与脚本斗争(RIAA vs文件共享任何人?)构建一个更好的机器人。

为每个人提供一个安装的应用程序，它与脚本kidide可以组合的任何东西一样好，甚至更好。用户会安装你的品牌应用，而每次出现这种情况。应用程序会自动尝试购买。如果错过了当前的b-o-c，应用程序就有一张“门票”，让它有更好的机会进行下一次b-o-c销售。因此，如果用户滚动自己的脚本，他们就无法获得下一个b-o-c销售的“门票”，而官方应用程序的用户则可以。

在b-o-c销售之间，应用程序可以显示当前出售的物品。见鬼，让用户可以告诉woot应用程序寻找“记忆棒”

当官方的woot b-o-c+脚本应用程序一样好或不好时，谁会构建自己的脚本?

此外，woot还有另一种与客户联系的方式。

你的客户告诉你他们想要什么。

2009-02-13 18:48:29

阻止脚本攻击你的网站

推荐文章

最新文章

标签