阻止脚本攻击你的网站

I've accepted an answer, but sadly, I believe we're stuck with our original worst case scenario: CAPTCHA everyone on purchase attempts of the crap. Short explanation: caching / web farms make it impossible to track hits, and any workaround (sending a non-cached web-beacon, writing to a unified table, etc.) slows the site down worse than the bots would. There is likely some pricey hardware from Cisco or the like that can help at a high level, but it's hard to justify the cost if CAPTCHA-ing everyone is an alternative. I'll attempt a more full explanation later, as well as cleaning this up for future searchers (though others are welcome to try, as it's community wiki).

情况

这是关于woot.com上的垃圾销售。我是Woot Workshop的总统，Woot Workshop是Woot的子公司，负责设计，撰写产品描述，播客，博客文章，并主持论坛。我使用CSS/HTML，对其他技术几乎不熟悉。我与开发人员密切合作，在这里讨论了所有的答案(以及我们的许多其他想法)。

可用性是我工作的重要组成部分，而让网站变得令人兴奋和有趣则是剩下的大部分工作。这就是下面三个目标的来源。验证码损害了可用性，机器人从我们的垃圾销售中偷走了乐趣和兴奋。

机器人一秒钟就会在我们的首页上猛击数十次屏幕抓取(和/或扫描我们的RSS)，以寻找随机垃圾销售。他们一看到这个，就会触发程序的第二阶段登录，点击“我要一个”，填好表格，然后买下这些垃圾。

评价

lc:在stackoverflow和其他使用此方法的站点上，他们几乎总是处理已验证(登录)的用户，因为正在尝试的任务需要这样。

在Woot上，匿名(未登录)用户可以查看我们的主页。换句话说，撞击机器人可以不经过身份验证(除了IP地址之外基本上无法跟踪)。

所以我们又回到了扫描IP, a)在这个云网络和垃圾邮件僵尸的时代是相当无用的，b)考虑到来自一个IP地址的业务数量，捕获了太多无辜的人(更不用说非静态IP isp的问题和试图跟踪它的潜在性能影响)。

还有，让别人给我们打电话是最糟糕的情况。我们能让他们给你打电话吗?

布拉德克:内德·巴切德的方法看起来很酷，但它们是专门设计来击败为网络站点构建的机器人的。我们的问题是机器人是专门用来破坏我们网站的。其中一些方法可能只在很短的时间内有效，直到脚本编写人员将他们的机器人进化为忽略蜜罐，从屏幕上抓取附近的标签名称而不是表单id，并使用支持javascript的浏览器控件。

lc再次说道:“当然，除非炒作是你们营销计划的一部分。”是的，绝对是。当物品出现时的惊喜，以及当你设法得到一件物品时的兴奋，可能比你实际得到的垃圾一样重要，甚至更重要。任何消除先到/先得的东西都不利于“赢”的快感。

novatrust:就我个人而言，欢迎我们新的机器人霸主。我们实际上提供RSSfeeds，允许第三方应用程序扫描我们的网站的产品信息，但不是在主站HTML之前。如果我的理解正确的话，你的解决方案通过完全牺牲目标1来帮助目标2(性能问题)，并放弃机器人将购买大部分垃圾的事实。我给你的回答投了赞成票，因为你最后一段的悲观情绪对我来说是准确的。这里似乎没有什么灵丹妙药。

其余的响应通常依赖于IP跟踪，这似乎是无用的(僵尸网络/僵尸/云网络)和有害的(捕获许多来自相同IP目的地的无辜的人)。

还有其他方法/想法吗?我的开发人员一直在说“让我们只做验证码”，但我希望有更少的侵入性方法，让所有真正想要我们的垃圾的人。

最初的问题

假设你卖的东西很便宜，但有很高的感知价值，而你的数量非常有限。没有人确切地知道你什么时候会卖这个东西。超过一百万人经常来看你卖什么。

你最终会发现脚本和机器人试图通过编程方式[a]找出你何时出售该道具，[b]确保他们是第一批购买该道具的人。这很糟糕，有两个原因:

你的网站被非人类攻击，拖慢了所有人的速度。编剧最终“赢得”了产品，让常客感到被骗了。

一个看似显而易见的解决方案是为用户在下单前设置一些障碍，但这至少有三个问题:

The user experience sucks for humans, as they have to decipher CAPTCHA, pick out the cat, or solve a math problem. If the perceived benefit is high enough, and the crowd large enough, some group will find their way around any tweak, leading to an arms race. (This is especially true the simpler the tweak is; hidden 'comments' form, re-arranging the form elements, mis-labeling them, hidden 'gotcha' text all will work once and then need to be changed to fight targeting this specific form.) Even if the scripters can't 'solve' your tweak it doesn't prevent them from slamming your front page, and then sounding an alarm for the scripter to fill out the order, manually. Given they get the advantage from solving [a], they will likely still win [b] since they'll be the first humans reaching the order page. Additionally, 1. still happens, causing server errors and a decreased performance for everyone.

另一种解决方案是经常监视ip攻击，阻止它们进入防火墙，或以其他方式阻止它们排序。这个可以解2。和阻止[b]，但扫描ip对性能的影响是巨大的，可能会导致更多像1这样的问题。比编剧自己造成的还要严重。此外，云网络和垃圾邮件僵尸的可能性使得IP检查相当无用。

第三个想法，强迫订单表单加载一段时间(比如半秒)，可能会减慢快速订单的进度，但同样，脚本编写人员仍然是第一个进入的人，在任何速度下都不会对实际用户造成损害。

目标

将道具卖给非脚本人。保持网站运行的速度不被机器人减慢。不要让“正常”用户完成任何任务来证明他们是人类。

当前回答

我的想法(我还没有检查所有其他的，所以我不知道它是否新颖)

处理蜂群:

Convert the front-page matter for each day's stuff to be a flash/flex object. Yes, some people will complain, but we're looking for the common case here, not the ideal. You should also randomize the name of your flash objects, so they aren't in any predictable pattern of names. Using Akamai or another CDN, deploy this flash object in advance to the outside world. Akamai produces what appears to be random URLs, so it makes it hard to predict. When it is time for a new sale, you just have to change your URL locally to refer to the appropriate object at Akamai, and people will go fetch the flash object from them to discover if the deal is a BoC or not.

一天结束-你现在有Akamai处理你的午夜交通蜂群

处理购车事宜

Each of the flash objects you create can have lots and lots of content hidden inside - images, links, arbitrary ids, including 'bag of crap' in a thousand places. you should be able to obfuscate the flash as well. When the flash object "goes live", people will start to attack it. But there are so many false positives that a simple string scan is useless - they'll have to simulate running the flash locally. But the flash doesn't write text. It draws lines and shapes. Shapes in different colors, all connected to timers that make them appear and disappear at different times. If you've seen the Colbert Report, you know how the intro has hundreds of words describing Colbert. Imagine something like that for your intro, which will always include Bag O Crap. Now, imagine that the intro takes an arbitrary amount of time - sometimes a few seconds, sometimes as long as a minute or more (make it funny) Meanwhile, "Bag O Crap" is constantly showing up, but again, clearly as part of the intro. Finally, the actual deal of the day is revealed, with an active 'shimmer' effect that makes it difficult for any single snapshot of the canvas to reveal the actual product name. This is floating above an animated background that still says 'bag O crap' and is constantly in motion again, all of this is handled with lines and shapes, not with text strings

最终的结果是——你的黑客被迫拍摄交易的大量图像快照，弄清楚如何分离所有的假阳性和识别实际交易。与此同时，人类只是看着它，由于眼睛疲劳和我们填补文本空白的能力，我们可以原原本本地阅读交易。

这不会永远有效，但会在一段时间内有效。

另一个想法是简单地限制人们购买中行，除非他们以前用该账户购买过东西，并且永远不让他们再购买中行。

2009-02-13 14:03:15

其他回答

不管纳粹认为他们的通信有多安全，盟军经常会破坏他们的信息。无论你如何试图阻止机器人使用你的网站，机器人所有者都会想出一个方法来解决它。如果这让你成为纳粹，我很抱歉:-)

我认为需要一种不同的心态

不要试图阻止机器人使用你的网站不去寻求立即见效的解决办法，打持久战

要有这样一种心态:不管你网站的客户是真人还是机器人，他们都只是付费客户;但其中一个比另一个有不公平的优势。一些没有太多社交生活的用户(隐士)可能会像机器人一样让你的网站的其他用户讨厌。

记录您发布报价的时间和帐户选择购买的时间。

这可以让你记录下速度客户在买东西。

改变你发布优惠的时间。

例如，设置3小时的窗口从某个不知名的时间开始天(午夜?)只有机器人和隐士会不断刷新一个页面3 好几个小时才拿到订单秒。不要改变基准时间，只有窗户的大小。

随着时间的推移，一幅图景就会浮现出来。

01:你可以看到哪些账户经常在产品上线后几秒钟内购买产品。这表明他们可能是机器人。

02:你也可以看看促销的时间窗口，如果窗口是1小时，那么一些早期买家将是人类。然而，人类很少会在4小时内恢复精神。如果发布/购买之间的运行时间相当一致，而不考虑窗口持续时间，那么这就是一个bot。如果发布/购买时间对于小窗口很短，而对于大窗口很长，那就是隐士!

现在不是阻止机器人使用你的网站，你有足够的信息告诉你哪些账户肯定被机器人使用，哪些账户可能被隐士使用。你如何处理这些信息取决于你，但你当然可以用它来让你的网站对有生活的人更公平。

我认为禁止机器人账户是毫无意义的，这就像打电话给希特勒说“谢谢你的u艇的位置!”你需要以一种账户所有者不会意识到的方式使用这些信息。让我们看看我是否能想出什么.....

在队列中处理订单:

当客户下订单时，他们会立即收到一封确认电子邮件，告诉他们他们的订单已被放入队列中，并将在处理完毕时收到通知。我在亚马逊上的订单/发货就经历过这种事情，这一点也不困扰我，我不介意几天后收到一封电子邮件，告诉我我的订单已经发货了，只要我立即收到一封电子邮件，告诉我亚马逊知道我想要这本书。在你的情况下，这将是一封电子邮件

您的订单已经下单，正在排队。您的订单已经处理完毕。您的订单已发出。

用户认为他们排在一个公平的队列中。每1小时处理一次队列，让普通用户也经历一次队列，以免引起怀疑。只有在机器人和隐士账户排队超过“人类平均下单时间+ x小时”后，才会处理他们的订单。有效地减少机器人对人类的影响。

2009-02-07 10:33:28

如果这个答案已经提交，请原谅。有很多答案，要试着去阅读和理解所有的答案。

为什么不能每隔一段时间就改变一下购买API呢?难道这对人类用户来说不是完全透明的，并几乎杀死了大多数机器人购买者吗?

一种实现方法是更改用户在点击“I Want One”按钮后必须填写并提交的字段名称。你一年卖出多少次中行?不经常。因此，每次BOC发售时，编写、测试和准备使用不同的采购API不会是一个巨大的编程负担。

只要确保使用旧的和不正确的API的机器人不会使您的服务器瘫痪。每次也可以在不同的服务器上托管BOC购买API。这样，机器人就可以关闭一个服务器，而我们人类BOC购买者实际上并没有使用它。

2009-02-18 15:01:17

通过服务器上的iptables(如果是基于Linux的)或使用专用的“路由器”来限制每个IP地址的并发连接

2009-05-15 08:18:06

作为Woot.com的长期用户(4年)和几袋垃圾的购买者，在我的车库中有许多其他的物品，似乎解决方案应该是Woot整体主题的一部分。

使用验证码，但要幽默。就像100万美元的促销一样，你也可以将自己当成一个人来做游戏。在过去，这使得中行的“售罄”推迟了一段合理的时间，而像我这样的人，则争先恐后地想出一个相当简单但幽默的谜题，输入优惠券代码。

此外，虽然人们不断抱怨服务器错误，但他们不会停止返回。在我看来，购买中行之所以令人兴奋，部分原因在于有无数人都想买。如果服务器抛出一个错误，或者一个奇怪的页面，这表明我是一群试图获得1500个产品中的一个的太多人中的一个。

如果你在构建谜题上投入了足够多的创造力，并且它足够新颖，它就会拖延机器人足够长的时间，给其他人一个机会。在“我想要一个”和购买页面之间放置一个临时页面，这需要一些独特的人类互动，你已经阻止了机器人，直到它们弄清楚需要发生什么。

• You haven't implemented a boring, and sometimes painfully difficult to read captcha • you've made the process more fun, • you've reduced the load on the actual secure purchase server • You'll train the users that they will need to "DO" something to get a BOC • You'll stopped the bots at the interim page, delaying their purchases until most people have at least had a chance to try and figure out the funny, but not terribly difficult puzzle. • Since being random is what a BOC is all about, a random, and changing puzzle/task would fit in simply with the whole pitch of a BOC.

随着试验的进行，临时页面背后的技术可能会变得更加先进，可以捕获用于购买页面的随机信息。自

自05年5月31日以来，我已经购买了7个BOC，没有机器人的帮助，也没有任何脚本，除了wootalyzer，我觉得这是一个可以接受的帮助。最好的一个，我没有得到，是Please Please Me BOC。B&D电池也很有趣，但我猜它并没有难倒机器人，只是让普通用户感到沮丧。

有时候，技术问题的最佳解决方案并不是更多的技术。

2009-07-12 19:46:55

Go after the money stream. It is much easier than tracking the IP side. Make bots pay too much a few times (announcement with white text on white background and all variants of it) kills their business case quickly. You should prepare this carefully, and make good use of the strong points of bots: their speed. Did you try a few thousand fake announcements a few seconds apart? If they are hitting ten times/second you can go even faster. You want to keep this up as long as they keep buying, so think carefully about the moment of the day/week you want to start this. Ideally, they will stop paying, so you can hand over your case to a bank. Make sure your site is fully generated, and each page access returns different page content (html, javascript and css). Parsing is more difficult than generating, and it is easy to build-in more variation than bot developers can handle. Keep on changing the content and how you generate it. You need to know how fast bots can adapt to changes you make, and preferably the timezone they are in. Is it one botnet or more, are they in the same timezone, a different one, or is it a worldwide developer network? You want your counterattack to be timed right. Current state of the art bots have humans enter captcha's (offered against porn/games). Make it unattractive to react very fast. Use hashes and honeypots, as Ned Batchelder explains.

(编辑) 你不能防御僵尸网络的说法是不对的。特别是我的第二个建议提供了充分的防御自动买家。不过，这需要你彻底重新思考你所使用的技术。您可能希望使用Seaside或直接在c中进行一些实验。

2009-02-07 17:49:40

阻止脚本攻击你的网站

推荐文章

最新文章

标签