日期:2014-05-17  浏览次数:20718 次

如果你是铁道部,只从技术上考虑,你会如何对付各种刷票插件??
事实证明,用行政手段搞约谈,不仅被自己人骂(新华社),也被全国老百姓骂,还被一些网络公司笑话。造成这些原因,最大的一点就是因为这个项目花了超级多的钱。

接下来言归正传:
大家都知道,很多刷票插件为了用户使用方便都会在铁道部的页面中注入自己的DOM元素,那么根据这一点,铁道部完全可以把这些DOM元素枚举出来,然后随机判断,只要有其中任何一个或两个或多个存在,就直接拒绝服务,然后干脆来个【请别用刷票插件】之类的警告。

在和同事讨论这个问题的时候,有同事居然说这会增加铁道部的访问量,会多一次请求,怕服务器吃不消。
其实我想说的是,这完全是多虑了。因为枚举和随机检查,是跟随登录操作和查询车票的操作进行的。但凡想买票的人,首先必须登录,然后必须进行查询操作。

在下不才,以菜鸟的角度考虑一下对付刷票插件的技术手段,以期抛砖引玉。

------解决方案--------------------
这种方法看来只能在浏览器端用JS做,
我不太懂JS,但是我想如果可以在DOM中添加节点,应该也可以删除,替换,
这样我的插件完全可以把你的JS干掉
------解决方案--------------------
限制提交间隔时间,插件是5秒一次,人工至少1分钟一次,所以。
限制间隔时间为40秒就行了
当然,会加重服务器的负担。
其实最好的方式还是让淘宝京东这样的电商帮忙售票。。。
减轻了服务器的负担,还省钱,还不遭人骂
------解决方案--------------------
最简单,不限制,请求一次扣一次钱,看谁敢刷,哈哈。。
------解决方案--------------------


上有政策,下有对策
------解决方案--------------------
引用:
引用:限制提交间隔时间,插件是5秒一次,人工至少1分钟一次,所以。
限制间隔时间为40秒就行了
当然,会加重服务器的负担。
其实最好的方式还是让淘宝京东这样的电商帮忙售票。。。
减轻了服务器的负担,还省钱,还不遭人骂

转给淘宝等公司做的,就不在此贴讨论范围了。正所谓肥水不流外人田。
假想一下,你是TDB的领导,你要了3亿,……

看这句话前面那个,“限制间隔时间为40秒就行了”
铁道部的那破技术做不过刷票的那帮人的。

------解决方案--------------------
其实  要想   这样的插件肯定会 定时发送请求来查看是否有票的,而且  铁道反正也做了 非常蛋疼的闸,何不在闸口做文章,   想找出来  很简单,可以根据频率浮动,人为情况 不可能 保持5s一次 坚持10分钟的。

直接拦截 分流。
------解决方案--------------------
我认为用任何技术手段都很难从根本上消灭刷票软件,正如游戏很难消除外挂一样,我认为要从订票规则上下手,如果订票规则和流程上消除了重复操作,自然刷票软件就没有用了。
如何消除订票时的重复操作呢,比如,你提交你的信息后就等待系统自动分配,其实就是类似于抽奖,你点再多也没用。但是这必然会有人提交很多信息,这时就需要采用实名制了,就是说你的身份证只能订一次,而且车票会和身份证绑定,或者用手机号验证,因为一个人不可能有太多手机号的。
------解决方案--------------------
直接就是提前20天报名,抽彩票放票
------解决方案--------------------
私有的企业,搞的东西为什么就那么好呢。
------解决方案--------------------
对于使用刷票软件的账号采取封号处理,效果应该很明显,而且注册账号也给个限制,注册成功后24小时内不能订票。
------解决方案--------------------
这种部门,关系比重比技术大,还有如果在用js来做检测,他的网站本来就慢,
现在还加那么多检测,恐怕用户体现更加糟糕。
------解决方案--------------------
浏览器搞插件买票是一种,这方便了很多人避免去安装更多的软件,但是对于那种本地安装的客户端,通过获取session,cookie,key的信息来不断请求服务器的软件,这种就不涉及在dom上增加结构。这种方式就完全是在模仿HTTP请求,把HTTP请求的内容设置的和12305一致,然后不断的去请求。包括他的验证码,曾今在CSDN上有高手讨论过自动识别这个问题,这也能满足他每隔几秒去请求一次。
要杜绝这样的问题我个人觉得要综合性的考虑:
1.更严格的买票规则,但是不是更复杂的买票流程
2.对于异常请求的处理,或对于过于频繁的请求的处理。可以放在一个队列中,不管他怎么请求,你这个请求一旦进入到队列,只要从队首出来,返回信息不变。再频繁的请求也没用。
3.中国人口基数是个问题,唯有考虑一种最有效的方式以达到最大最优的运输要求。

不才,纯属愚见。

------解决方案--------------------
HTTP 请求分为 Human 和 Program 的,Human 是人—浏览器—HTTP 交互的,而 Program 是通过程序—HTTP 交互的

任何的 HTTP 请求只要浏览器上能使用,那么所谓的插件、程序应用都可以使用,无从防范!

目前最为广泛且廉价的防范手段就是 Captcha,学名很长,即:全自动区分计算机和人类的图灵测试,最常见的 Captcha 就是图形验证码。

图形验证码之所以有效源于计算机科学、模式识别和人工智能等相关学科研究的缺失导致的,根据既有技术而言,一个好的图形验证码不可能被程序 100% 地识别,至少在今后的一二十年内不可能。

12306.cn 上的验证码机制太简单了,看了一下,12306 验证码的图像生成基本上网上滥大街的程序产生的,建议增加字符扭曲、旋转等图像变形技术。
------解决方案--------------------