秒杀系统 | 防刷技术 | 防刷方案分析

防刷

  • 秒杀令牌、秒杀大闸、队列泄洪、令牌桶算法都只能限制总流量,但无法控制黄牛流量,识别黄牛流量是个非常重要的议题;
  • 要识别出黄牛、黑客、接口模拟器的流量,并实施拦截;

传统防刷方案

限制会话
  • 通过会话的标识,比如 JSESSIONID,token,限制一个会话,在同一秒/分钟内,接口调用的次数;
  • 针对多会话接入绕开,限制会话的方案是没有效果的;比如一个黄牛可能会开很多个会话/token 去接入系统;
限制 IP
  • 限制一个 IP 同一秒/分钟内,接口调用的次数;
  • 有些针对企业出口的 IP,其实在服务端看来是同一个 IP,但其内部可能是用 NAT 代理,后面可能有很多正常的用户,针对这种情况,限制 IP 的方案是容易误伤的;
  • 其实很多黑客的攻击都是可以仿造 IP 请求头的;

黄牛为什么难防

  • 模拟器作弊,用模拟器模拟硬件,还可以修改硬件设备的信息,这样的话,服务器这边觉得对端是个正常 IMEI 号;
  • 设备牧场作弊:在一个工作室内,有成千上百的移动设备的货架,其实是个灰色产业链;
  • 人工作弊:靠佣金吸引兼职人员刷单,这是更难防的;

设备指纹

  • 通过采集终端设备的各项参数,在 APP 启动的时候,生成一个唯一的设备指纹;
  • 根据对应设备指纹的参数,猜测出模拟器等可以设备的概率;

凭证系统

  • 根据设备指纹下发凭证;
  • 关键业务带上凭证, 并有业务系统到凭证服务器上做验证;
  • 凭证服务器根据对应凭证所等价的设备指纹参数,并根数实时行为风控系统判定对应凭证的可疑度分数;
  • 若分数低于某个数值则由业务系统返回固定错误码,拉起前端验证码验身,验身成功后,加入凭证服务器对应分数;

版权声明:本文为weixin_33669968原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
THE END
< <上一篇
下一篇>>