以下是我的看法。攻击机器人所有者的投资回报率，这样他们就会做你想让他们做的合法事情，而不是欺骗。让我们从他们的角度来看。他们的资产是什么?显然，无数的一次性机器、IP地址，甚至可能还有大量不熟练的人愿意做无聊的工作。他们想要什么?总是在其他合法的人得到它之前得到你提供的特别交易。

The good news is that they only have a limited window of time in which to win the race. And what I don't think they have is an unlimited number of smart people who are on call to reverse engineer your site at the moment you unleash a deal. So if you can make them jump through a specific hoop that is hard for them to figure out, but automatic for your legitimate customers (they won't even know it's there), you can delay their efforts just enough that they get beat by the massive number of real people who are just dying to get your hot deal.

The first step is to make your notion of authentication non-binary, by which I mean that, for any given user, you have a probability assigned to them that they are a real person or a bot. You can use a number of hints to build up this probability, many of which have been discussed already on this thread: suspicious rate activity, IP addresses, foreign country geolocation, cookies, etc. My favorite is to just pay attention to the exact version of windows they are using. More importantly, you can give your long-term customers a clear way to authenticate with strong hints: by engaging with the site, making purchases, contributing to forums, etc. It's not required that you do those things, but if you do then you'll have a slight advantage when it comes time to see special deals.

Whenever you are called upon to make an authentication decision, use this probability to make the computer you're talking to do more-or-less work before you will give them what they want. For example, perhaps some javascript on your site requires the client to perform a computationally expensive task in the background, and only when that task completes will you let them know about the special deal. For a regular customer, this can be pretty quick and painless, but for a scammer it means they need a lot more computers to maintain constant coverage (since each computer has to do more work). Then you can use your probability score from above to increase the amount of work they have to do.

To make sure this delay doesn't cause any fairness problems, I'd recommend making it be some kind of encryption task that includes the current time of day from the person's computer. Since the scammer doesn't know what time the deal will start, he can't just make something up, he has to use something close to the real time of day (you can ignore any requests that claim to come in before the deal started). Then you can use these times to adjust the first-come-first-served rule, without the real people ever having to know anything about it.

The last idea is to change the algorithm required to generate the work whenever you post a new deal (and at random other times). Every time you do that, normal humans will be unaffected, but bots will stop working. They'll have to get a human to get to work on the reverse-engineering, which hopefully will take longer than your deal window. Even better is if you never tell them if they submitted the right result, so that they don't get any kind of alert that they are doing things wrong. To defeat this solution, they will have to actually automate a real browser (or at least a real javascript interpreter) and then you are really jacking up the cost of scamming. Plus, with a real browser, you can do tricks like those suggested elsewhere in this thread like timing the keystrokes of each entry and looking for other suspicious behaviors.

So for anyone who you know you've seen before (a common IP, session, cookie, etc) you have a way to make each request a little more expensive. That means the scammers will want to always present you with your hardest case - a brand-new computer/browser/IP combo that you've never seen before. But by putting some extra work into being able to even know if they have the bot working right, you force them to waste a lot of these precious resources. Although they may really have an infinite number, generating them is not without cost, and again you are driving up the cost part of their ROI equation. Eventually, it'll be more profitable for them to just do what you want :)

希望这对你们有帮助，

Eric

Woot用来解决这个问题的方法正在改变游戏。当他们展示一种非常受欢迎的商品出售时，他们会让用户玩电子游戏来订购它。

这不仅能够有效地对抗机器人(它们能够轻松地对游戏进行一些小改变以避免自动玩家，甚至为每次销售提供一个新游戏)，而且还能够给用户一种“赢得”所需道具的印象，同时减缓订购过程。

它仍然很快就卖光了，但我认为解决方案是好的——重新评估问题和改变参数导致了一个成功的战略，而严格的技术解决方案根本不存在。

---

你的整个商业模式都是基于“先到先得”。你不能像广播电台那样(他们不再把第一个打电话的人视为赢家，而是把第5个、第20个或第13个打电话的人视为赢家)——这与你的主要特点不匹配。

不，如果不改变实际用户的订购体验，就无法做到这一点。

假设你实施了所有这些策略。如果我认为这很重要，我就会找100个人和我一起工作，我们会在100台不同的电脑上构建软件，每秒访问你的网站20次(每个用户/cookie/帐户/IP地址访问间隔5秒)。

你有两个阶段:

看头版 订购

你不能设置一个验证码阻塞#1 -那样会失去真正的客户(“什么?每次我想看最新的woot时，我都必须解决验证码?!?”)。

所以我的小组一起观察，计时，所以我们每秒得到大约20次检查，第一个看到变化的人会提醒所有其他人(自动)，他们将再次加载首页，遵循订单链接，并执行交易(这也可能是自动发生的，除非你实现验证码并为每次wootoff/boc更改它)。

你可以把验证码放在第2条前面，虽然你不愿意这么做，但这可能是确保即使机器人看首页，真正的用户也能得到产品的唯一方法。

但即使有验证码，我的100个小团队仍然有显著的先发优势——而且你无法分辨我们不是人类。如果你开始计时我们的访问，我们只会增加一些抖动。我们可以随机选择要刷新的计算机，这样访问顺序就会不断变化，但看起来仍然足够像人类。

首先，摆脱简单的机器人

你需要有一个自适应防火墙来监视请求，如果有人在做明显的愚蠢的事情——在同一个IP上每秒刷新一次以上，那么就采用策略来减慢他们的速度(丢弃数据包，发回拒绝或500个错误，等等)。

这将显著降低你的流量，并改变机器人用户使用的策略。

第二，让服务器非常快。

你真的不想听这个…但是…

我认为你需要的是一个完全自定义的解决方案。

您不需要打乱TCP/IP堆栈，但是您可能需要开发一个非常、非常、非常快的定制服务器，该服务器是专门用于关联用户连接并对各种攻击做出适当反应的。

Apache, lighthttpd等都很灵活，但你运行的是一个单一用途的网站，你真的需要能够做的比当前服务器所能做的更多(无论是在处理流量，还是在适当地打击机器人)。

By serving a largely static webpage (updates every 30 seconds or so) on a custom server you should not only be able to handle 10x the number of requests and traffic (because the server isn't doing anything other than getting the request, and reading the page from memory into the TCP/IP buffer) but it will also give you access to metrics that might help you slow down bots. For instance, by correlating IP addresses you can simply block more than one connection per second per IP. Humans can't go faster than that, and even people using the same NATed IP address will only infrequently be blocked. You'd want to do a slow block - leave the connection alone for a full second before officially terminating the session. This can feed into a firewall to give longer term blocks to especially egregious offenders.

但现实是，无论你做什么，当机器人是由人类为单一目的定制时，都无法将人类与机器人区分开来。机器人只是人类的代理。

结论

在一天结束的时候，你不能通过看头版来区分人类和计算机。您可以在订购步骤停止机器人，但机器人用户仍然具有先发优势，并且您仍然需要管理巨大的负载。

你可以为简单的机器人添加块，这将提高标准，更少的人会为它烦恼。这也许就足够了。

但如果不改变你的基本模型，你就不走运了。你能做的最好的事情就是处理好简单的情况，让服务器快速到普通用户注意不到的程度，并出售大量道具，即使你有数百万个机器人，许多想要它们的普通用户也会得到它们。

你可能会考虑建立一个蜜罐，并将用户帐户标记为机器人用户，但这将引起巨大的负面社区反弹。

每次我想到“好吧，这样做怎么样?”我总是可以用合适的机器人策略来对抗它。

即使你在首页设置了一个验证码来进入订购页面(“这个项目的订购按钮是蓝色的，带粉红色的火花，在这个页面的某个地方”)，机器人也会简单地打开页面上的所有链接，并使用返回订购页面的任何一个链接。这根本不可能赢。

提高服务器的速度，在订购页面上输入reCaptcha(这是我发现的唯一一个不容易被愚弄的方法，但对你的应用程序来说可能太慢了)，并考虑如何稍微改变模型，让普通用户有和机器人用户一样好的机会。

亚当

如何像SO那样实现captcha呢?

如果你正常使用这个网站，你可能永远不会看到它。如果你经常重载同一个页面，过快地连续发布评论，或者其他触发警报的事情，让他们证明他们是人。在您的情况下，这可能是不断地重新加载同一页面，快速地跟踪页面上的每个链接，或者快速地填写订单。

如果他们连续x次检查失败(比如2次或3次)，给该IP一个超时或其他类似的措施。然后在超时结束时，再次将它们转储回检查。

---

因为你有未注册的用户访问网站，所以你只有ip地址可以继续。如果愿意，您可以向每个浏览器发出会话并以这种方式跟踪。当然，如果连续(重新)创建了太多会话，还要进行人工检查(以防机器人不断删除cookie)。

至于发现太多无辜的人，你可以在人工检查页面上发布免责声明:“如果有太多匿名用户从同一位置查看我们的网站，也可能出现此页面。我们鼓励你注册或登录以避免这种情况。”(适当调整措辞。)

此外，X个人同时从一个IP加载同一页面的几率是多少?如果它们很高，也许你需要一个不同的触发机制来触发你的机器人警报。

---

编辑:另一种选择是，如果他们失败了太多次，而你对产品的需求有信心，阻止他们，让他们亲自打电话给你来消除阻碍。

让人们打电话似乎是一种愚蠢的措施，但它可以确保计算机后面有一个人。关键是要让块只在一个几乎不应该发生的情况下出现，除非它是一个机器人(例如，连续多次检查失败)。然后它强迫人类互动——拿起电话。

对于让他们打电话给我的评论，这里显然有一个权衡。你是否担心你的用户会在打折时接几个电话?如果我如此关心产品是否能被人类用户使用，我就必须做出这个决定，可能会在这个过程中牺牲(一小部分)我的时间。

既然你似乎决心不让机器人占据上风/抨击你的网站，我相信手机可能是一个不错的选择。因为我没有从你们的产品中获利，所以我没有兴趣接这些电话。然而，如果你分享一些利润，我可能会感兴趣。因为这是你的产品，你必须决定你有多关心和相应的实现。

---

其他释放阻塞的方式都不那么有效:超时(但他们会再次关闭你的网站，冲洗-重复)，长时间超时(如果真的有人试图购买你的产品，他们会被SOL并因检查失败而受到惩罚)，电子邮件(很容易由机器人完成)，传真(相同)，或蜗牛邮件(花费太长时间)。

当然，您也可以在每个IP每次超时时增加超时时间。只要确保你不是在不经意间惩罚真正的人类。

我的解决方案是，通过为“机器人和脚本”设置大约10分钟的延迟，让屏幕抓取变得毫无价值。

以下是我的做法:

记录并识别任何重复作案的人。

你不需要记录每次点击的每个IP地址。大概每20次点击只录一次。一个惯犯仍然会在随机的偶尔跟踪中出现。

保留大约10分钟前页面的缓存。 当重复攻击者/机器人攻击您的网站时，给他们10分钟前的缓存页面。

他们不会马上意识到他们得到的是一个旧网站。他们可以把它刮掉，但他们不会再赢得任何比赛了，因为“真人”会有10分钟的领先优势。

好处:

没有麻烦或问题的用户(如验证码)。 完全在服务器端实现。(不依赖Javascript/Flash) 提供一个较旧的缓存页面的性能强度应该小于活动页面。这样实际上可以减少服务器的负载!

缺点

需要跟踪一些IP地址 需要保持和维护旧页面的缓存。

不管纳粹认为他们的通信有多安全，盟军经常会破坏他们的信息。无论你如何试图阻止机器人使用你的网站，机器人所有者都会想出一个方法来解决它。如果这让你成为纳粹，我很抱歉:-)

我认为需要一种不同的心态

不要试图阻止机器人使用你的网站 不去寻求立即见效的解决办法，打持久战

要有这样一种心态:不管你网站的客户是真人还是机器人，他们都只是付费客户;但其中一个比另一个有不公平的优势。一些没有太多社交生活的用户(隐士)可能会像机器人一样让你的网站的其他用户讨厌。

记录您发布报价的时间和帐户选择购买的时间。

这可以让你记录下速度 客户在买东西。

改变你发布优惠的时间。

例如，设置3小时的窗口 从某个不知名的时间开始 天(午夜?)只有机器人和隐士 会不断刷新一个页面3 好几个小时才拿到订单 秒。不要改变基准时间， 只有窗户的大小。

随着时间的推移，一幅图景就会浮现出来。

01:你可以看到哪些账户经常在产品上线后几秒钟内购买产品。这表明他们可能是机器人。

02:你也可以看看促销的时间窗口，如果窗口是1小时，那么一些早期买家将是人类。然而，人类很少会在4小时内恢复精神。如果发布/购买之间的运行时间相当一致，而不考虑窗口持续时间，那么这就是一个bot。如果发布/购买时间对于小窗口很短，而对于大窗口很长，那就是隐士!

现在不是阻止机器人使用你的网站，你有足够的信息告诉你哪些账户肯定被机器人使用，哪些账户可能被隐士使用。你如何处理这些信息取决于你，但你当然可以用它来让你的网站对有生活的人更公平。

我认为禁止机器人账户是毫无意义的，这就像打电话给希特勒说“谢谢你的u艇的位置!”你需要以一种账户所有者不会意识到的方式使用这些信息。让我们看看我是否能想出什么.....

在队列中处理订单:

当客户下订单时，他们会立即收到一封确认电子邮件，告诉他们他们的订单已被放入队列中，并将在处理完毕时收到通知。我在亚马逊上的订单/发货就经历过这种事情，这一点也不困扰我，我不介意几天后收到一封电子邮件，告诉我我的订单已经发货了，只要我立即收到一封电子邮件，告诉我亚马逊知道我想要这本书。在你的情况下，这将是一封电子邮件

您的订单已经下单，正在排队。 您的订单已经处理完毕。 您的订单已发出。

用户认为他们排在一个公平的队列中。每1小时处理一次队列，让普通用户也经历一次队列，以免引起怀疑。只有在机器人和隐士账户排队超过“人类平均下单时间+ x小时”后，才会处理他们的订单。有效地减少机器人对人类的影响。

您可以尝试让脚本更难阅读价格。最简单的方法是将其转换为图像，但文本识别算法仍然可以解决这个问题。如果有足够多的脚本编写人员能够解决这个问题，您可以尝试对该图像应用类似验证码的东西，但显然是以牺牲用户体验为代价的。而不是图像，价格可以在一个flash应用程序。

或者，您可以尝试设计一种方法，以某种不影响呈现的方式在页面中“洗牌”HTML。我一时想不出一个好的例子，但我确信它在某种程度上是可行的。