I've accepted an answer, but sadly, I believe we're stuck with our original worst case scenario: CAPTCHA everyone on purchase attempts of the crap. Short explanation: caching / web farms make it impossible to track hits, and any workaround (sending a non-cached web-beacon, writing to a unified table, etc.) slows the site down worse than the bots would. There is likely some pricey hardware from Cisco or the like that can help at a high level, but it's hard to justify the cost if CAPTCHA-ing everyone is an alternative. I'll attempt a more full explanation later, as well as cleaning this up for future searchers (though others are welcome to try, as it's community wiki).

情况

这是关于woot.com上的垃圾销售。我是Woot Workshop的总统,Woot Workshop是Woot的子公司,负责设计,撰写产品描述,播客,博客文章,并主持论坛。我使用CSS/HTML,对其他技术几乎不熟悉。我与开发人员密切合作,在这里讨论了所有的答案(以及我们的许多其他想法)。

可用性是我工作的重要组成部分,而让网站变得令人兴奋和有趣则是剩下的大部分工作。这就是下面三个目标的来源。验证码损害了可用性,机器人从我们的垃圾销售中偷走了乐趣和兴奋。

机器人一秒钟就会在我们的首页上猛击数十次屏幕抓取(和/或扫描我们的RSS),以寻找随机垃圾销售。他们一看到这个,就会触发程序的第二阶段登录,点击“我要一个”,填好表格,然后买下这些垃圾。

评价

lc:在stackoverflow和其他使用此方法的站点上,他们几乎总是处理已验证(登录)的用户,因为正在尝试的任务需要这样。

在Woot上,匿名(未登录)用户可以查看我们的主页。换句话说,撞击机器人可以不经过身份验证(除了IP地址之外基本上无法跟踪)。

所以我们又回到了扫描IP, a)在这个云网络和垃圾邮件僵尸的时代是相当无用的,b)考虑到来自一个IP地址的业务数量,捕获了太多无辜的人(更不用说非静态IP isp的问题和试图跟踪它的潜在性能影响)。

还有,让别人给我们打电话是最糟糕的情况。我们能让他们给你打电话吗?

布拉德克:内德·巴切德的方法看起来很酷,但它们是专门设计来击败为网络站点构建的机器人的。我们的问题是机器人是专门用来破坏我们网站的。其中一些方法可能只在很短的时间内有效,直到脚本编写人员将他们的机器人进化为忽略蜜罐,从屏幕上抓取附近的标签名称而不是表单id,并使用支持javascript的浏览器控件。

 

lc再次说道:“当然,除非炒作是你们营销计划的一部分。”是的,绝对是。当物品出现时的惊喜,以及当你设法得到一件物品时的兴奋,可能比你实际得到的垃圾一样重要,甚至更重要。任何消除先到/先得的东西都不利于“赢”的快感。

 

novatrust:就我个人而言,欢迎我们新的机器人霸主。我们实际上提供RSSfeeds,允许第三方应用程序扫描我们的网站的产品信息,但不是在主站HTML之前。如果我的理解正确的话,你的解决方案通过完全牺牲目标1来帮助目标2(性能问题),并放弃机器人将购买大部分垃圾的事实。我给你的回答投了赞成票,因为你最后一段的悲观情绪对我来说是准确的。这里似乎没有什么灵丹妙药。

其余的响应通常依赖于IP跟踪,这似乎是无用的(僵尸网络/僵尸/云网络)和有害的(捕获许多来自相同IP目的地的无辜的人)。

还有其他方法/想法吗?我的开发人员一直在说“让我们只做验证码”,但我希望有更少的侵入性方法,让所有真正想要我们的垃圾的人。

最初的问题

假设你卖的东西很便宜,但有很高的感知价值,而你的数量非常有限。没有人确切地知道你什么时候会卖这个东西。超过一百万人经常来看你卖什么。

你最终会发现脚本和机器人试图通过编程方式[a]找出你何时出售该道具,[b]确保他们是第一批购买该道具的人。这很糟糕,有两个原因:

你的网站被非人类攻击,拖慢了所有人的速度。 编剧最终“赢得”了产品,让常客感到被骗了。

一个看似显而易见的解决方案是为用户在下单前设置一些障碍,但这至少有三个问题:

The user experience sucks for humans, as they have to decipher CAPTCHA, pick out the cat, or solve a math problem. If the perceived benefit is high enough, and the crowd large enough, some group will find their way around any tweak, leading to an arms race. (This is especially true the simpler the tweak is; hidden 'comments' form, re-arranging the form elements, mis-labeling them, hidden 'gotcha' text all will work once and then need to be changed to fight targeting this specific form.) Even if the scripters can't 'solve' your tweak it doesn't prevent them from slamming your front page, and then sounding an alarm for the scripter to fill out the order, manually. Given they get the advantage from solving [a], they will likely still win [b] since they'll be the first humans reaching the order page. Additionally, 1. still happens, causing server errors and a decreased performance for everyone.

另一种解决方案是经常监视ip攻击,阻止它们进入防火墙,或以其他方式阻止它们排序。这个可以解2。和阻止[b],但扫描ip对性能的影响是巨大的,可能会导致更多像1这样的问题。比编剧自己造成的还要严重。此外,云网络和垃圾邮件僵尸的可能性使得IP检查相当无用。

第三个想法,强迫订单表单加载一段时间(比如半秒),可能会减慢快速订单的进度,但同样,脚本编写人员仍然是第一个进入的人,在任何速度下都不会对实际用户造成损害。

目标

将道具卖给非脚本人。 保持网站运行的速度不被机器人减慢。 不要让“正常”用户完成任何任务来证明他们是人类。


当前回答

以下是你可以做的一些合理假设:

Any automated solution can and will be broken. Making the site completely require human input (eg CAPTCHA) will greatly increase the difficulty of logging in/checking out/etc. You have a limited number of Bandoliers of Cabbage to sell. You can track users by session via a client-side cookie. You aren't dealing with extremely hardcore criminals here; these are simply technical people who are bending, but not breaking, the law. Successful orders via bots will go to the person's home, and likely not some third-party mail drop.

解决方案不是技术上的。这是一个政策问题。

在web服务器上记录所有客户端会话id。 制定“限制机器人”政策;比如,每X秒刮一次屏幕,让使用普通浏览器的用户能够点击刷新。任何被发现超过这个限制的用户都不会被开除。 接下来,向已知的机器人所有者发送一堆leakfrog。

其他回答

这个问题的解决方案可能是在登录和购买操作中附加一些客户端处理。处理量可以忽略不计,因此个人不会受到影响,但多次尝试执行任务的机器人将受到额外工作负载的阻碍。

处理过程可以是一个用javascript解决的简单方程,除非你不想在你的网站上需要javascript。

As for CAPTCHAing everyone, why not use the Google solution of only requiring CAPTCHAs from IPs you suspect as being bots, or even just users that hammer the site? I'm sure asking someone for a CAPTCHA when they purchase isn't so bad if they've been hammering the site anyway, its just about the same as staying up and hitting F5 repeatedly. That or maybe require a periodic CAPTCHA when hammering, say every hundred (maybe smaller?) or so refreshes, to stop alarm-bots from working. You need some sort of CAPTCHA to prevent botting, but you also need to account for the fact that your real users will act like bots.

首先,不要试图用技术来打败技术。

你的问题:

网站的可用性 列出使网站令人兴奋和有趣的内容 由脚本导致的服务器负载。

你的目标:

保持网站运行的速度不被机器人减慢。 将道具卖给非脚本人。 不要让“正常”用户完成任何任务来证明他们是人类。

目标#1:保持网站运行的速度不被机器人减慢。

这其实很简单。让其他人托管页面。首页不是托管在服务器上,而是由Amazon S3 / Akamai托管页面。无论如何,页面的大部分都是“静态的”。每5分钟左右重新生成页面,以刷新更动态的项目。(如果你想的话,可以每1分钟重新生成一次)。但是现在这些机器人攻击的不是你的服务器,而是Akamai的CDN,它当然可以承担负载。

当然,RSS订阅也可以这样做。没有理由其他服务不能为你承担带宽/负载的冲击。在相关的说明中,所有的图像都由Akamai等提供。为什么要承担这个责任?

目标#2:将道具卖给非脚本人员

我同意其他人的意见,让脚本没有真正的优势。然而,编写脚本也是一个热情的客户的标志,所以你也不想成为一个*洞。

所以我会说,让他们购买,但让他们支付一个膨胀的金额(或者更好),只是放慢他们的速度,这样其他人就有机会了。

所以每当用户访问网站时,就会以29.99美元的价格提供这袋垃圾,并有一个计时器以随机速度降低或提高价格。有一个图像或其他指标,告诉人们如果他们有耐心,价格是否会下降。

用户有一个“立即购买”按钮,当他们看到价格/#商品是他们想要的时,他们就会点击这个按钮。

例子:

用户:

0秒$29.99(1件)图像 说:“等待一个更低的价格!” 7秒$31.99(1件)图像 说:“等待一个更低的价格!” 13秒$27.99(1项)图像 说:“我打赌你能做得更好!” 16秒1.99美元(0件物品 你会傻到付钱给我们吗 没有什么!” 21秒$4.99(两件物品 说:“越来越好了!” 24秒$4.99 (tres itemos 他说:“没有比这更好的了 箭!” 26秒$8.99(2项)图像 说:“我打赌你能做得更好!”

重复……

在一个逐渐收紧的周期中,正确的“$4.99 (tres itemos)”会显示出来

如果机器人点击刷新,循环就会重新开始。如果用户错过并选择了错误的道具/价格,你便需要决定是否让他们以该价格购买游戏。

例如,如果他们“过度消费”,他们为3件物品支付24.99美元,woot只会向他们收取4.99美元,然后在下次woot购买时提供20美元的优惠券。

目标#3:不要让“普通”用户完成任何任务来证明他们是人类。

你在这里犯了一个逻辑谬误。你假设任何图灵测试(http://en.wikipedia.org/wiki/Turing_test)都是恼人的。这不是真的!

以下是一些建议:

Create a game. The reward for playing the game is a $5 off coupon on the next order. Pair up 2 random users and have them chat with each other. Each user is told to answer 2 questions to the other user : "Ask what color is the your hair ?" and "What are you going to do next weekend?" Some users get paired with a woot random sentence generator. Each user is then asked if the other user is a human. If a user says the woot random sentence generator is human then reply "No I am not and may be you are from Mars as well. Do you want to try again?" Simple flash game that requires the user to maneuver through an obstacle course to get a discount coupon. Ask what city they are in. The reverse geo-code the ip address to see if they are close to being correct. Ask silly questions - "Do you think John McCain is a great president?" "Whose picture is on your driver's license?"

只问三次,因为你真正想做的是放慢脚本节奏。

你的最终目标是让更多的用户购买你的产品。

如果您在一两个小时内释放w00t包,并在一系列IP地址上释放它们,而不是同时将它们释放到任何IP地址,会怎么样呢?

假设你有255袋w00t。1.0.0.0可以在第一分钟购买,2.0.0.0可以在第二分钟购买(可能有2袋w00t可用),等等。

然后,在255分钟之后,你已经为每个人提供了几袋w00t,尽管很可能不是所有255袋w00t都剩下了。

这将真正的攻击限制在拥有>255台计算机的用户,尽管机器人用户可能能够“拥有”分配给他们的IP范围的w00t包。

没有要求你匹配包的IP公平(你肯定应该使用某种类型的MD5 /随机种子的东西)…如果你增量地分配10袋w00t,你只需要确保它在你的人群中均匀地分配。

如果IP不好,那么您可以使用cookie,并排除向未经过cookie的用户提供一袋w00t的用例。

如果您注意到某个特定的IP、cookie或地址范围具有非常大的流量,请按比例在稍后/最后向它们提供w00t包,以便偶尔/稳定/缓慢的访问者在重度/快速/可能的bot用户之前获得机会。

——罗伯特。

想出一种识别机器人的方法如何,可能是基于IP,但不阻止他们访问网站,只是不允许他们实际购买任何东西。也就是说,如果他们买了,他们实际上并没有得到它,因为机器人违反了使用条款。