對(duì)于中國(guó)人而言，時(shí)至今日春運(yùn)搶票依舊是春節(jié)期間大家最關(guān)注的話題之一。央視財(cái)經(jīng)報(bào)道，鐵路部門(mén)表示第三方軟件搶票的相關(guān)機(jī)器特征已經(jīng)被識(shí)別并被實(shí)施限制措施。這意味著即使用戶花錢(qián)在第三方軟件購(gòu)買(mǎi)加速服務(wù)，購(gòu)票的成功率也絕對(duì)不會(huì)像各個(gè)搶票軟件顯示的一樣。

12306為什么要限制第三方搶票軟件？他們的技術(shù)如何？

圖片來(lái)自中國(guó)鐵路微博

限制搶票軟件12306早有準(zhǔn)備

春節(jié)期間全國(guó)交通運(yùn)力與需求的不配以及鐵路部門(mén)飽受質(zhì)疑的購(gòu)票系統(tǒng)讓第三方軟件成為了不少人購(gòu)票的首選。這也帶來(lái)了安全和公平性等問(wèn)題，因此鐵路部門(mén)在各方的壓力下持續(xù)改進(jìn)購(gòu)票系統(tǒng)，最近，12306動(dòng)作不斷。

2018年11月3日，12306新版上線，新版網(wǎng)站界面UI更加清晰友好，移動(dòng)頁(yè)面屬性更強(qiáng)，購(gòu)票流程更加便捷，還增加了用戶掃碼登錄功能。2018年12月27日，鐵路部門(mén)正式宣布12306正式上線候補(bǔ)購(gòu)票功能，雷鋒網(wǎng)了解到12306的候補(bǔ)購(gòu)票功能指當(dāng)旅客遇到車(chē)票售完的情況，在12306平臺(tái)登記購(gòu)票信息支付預(yù)購(gòu)票資金后，如有退票、余票，12306系統(tǒng)將自動(dòng)為其購(gòu)票，其購(gòu)票速度和成功率都要強(qiáng)于搶票軟件。

更具體地說(shuō)，在候補(bǔ)購(gòu)票實(shí)行階段試點(diǎn)的始發(fā)地和到達(dá)地支持候補(bǔ)購(gòu)票的列車(chē)，當(dāng)火車(chē)票售罄之后會(huì)自動(dòng)開(kāi)啟候補(bǔ)購(gòu)票。當(dāng)然購(gòu)票人首先需要通過(guò)人證驗(yàn)證，并提交候補(bǔ)票購(gòu)票訂單后售票系統(tǒng)自動(dòng)安排網(wǎng)上排隊(duì)候補(bǔ)，當(dāng)對(duì)應(yīng)的車(chē)次、席別因退票、改簽等業(yè)務(wù)產(chǎn)生可供發(fā)售的車(chē)票時(shí)，系統(tǒng)自動(dòng)兌現(xiàn)車(chē)票，并將購(gòu)票結(jié)果通知旅客。

12306官方的候補(bǔ)購(gòu)票功能上線之時(shí)就有不少人認(rèn)為這是第三方搶票軟件的大殺器。1月，鐵路部門(mén)就表示已經(jīng)對(duì)搶票軟件進(jìn)行了限制。 

搶票軟件的風(fēng)險(xiǎn)

央視財(cái)經(jīng)在報(bào)道中提到，中國(guó)鐵路總局之所以采取相關(guān)措施是因?yàn)榈谌綋屍避浖嬖诎踩[患，個(gè)人隱私信息得不到保障。新京此前報(bào)道，有乘客下載了一款搶票軟件后，輸入時(shí)間、車(chē)次等購(gòu)票信息，沒(méi)一會(huì)兒軟件就提示“搶票成功”，但該乘客按照提示將個(gè)人信息包括銀行卡和密碼都輸入進(jìn)去，準(zhǔn)備付錢(qián)買(mǎi)票時(shí)，突然收到銀行發(fā)來(lái)的提示短信，銀行卡里的數(shù)千元被刷走，聯(lián)系搶票軟件的客服，才發(fā)現(xiàn)是空號(hào)。

上面是買(mǎi)票不成反被騙的案例，然而還有很大的信息泄露風(fēng)險(xiǎn)。鐵道部在2011年開(kāi)始試水網(wǎng)絡(luò)售票服務(wù)，并在2011年底兌現(xiàn)了網(wǎng)絡(luò)售票覆蓋所有車(chē)次的承諾。不過(guò)自網(wǎng)絡(luò)售票服務(wù)開(kāi)始，用戶信息泄露一直都是12306的困擾。

2014年，報(bào)道稱(chēng)有超過(guò)13萬(wàn)12306的用戶數(shù)據(jù)在互聯(lián)網(wǎng)上傳播售賣(mài)。不過(guò)，12306網(wǎng)站回應(yīng)稱(chēng)，經(jīng)核查，此泄露信息全部含有用戶的明文密碼，12306網(wǎng)站數(shù)據(jù)庫(kù)所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。

12306還發(fā)布公告提醒乘客通過(guò)12306官方網(wǎng)站購(gòu)票，不要使用第三方搶票軟件購(gòu)票，或委托第三方網(wǎng)站購(gòu)票，以防止個(gè)人身份信息外泄。同時(shí)還提醒稱(chēng)，部分第三方網(wǎng)站開(kāi)發(fā)的搶票神器中，有捆綁式銷(xiāo)售保險(xiǎn)功能，請(qǐng)乘客注意。

在利益的驅(qū)使下，信息泄露的問(wèn)題并沒(méi)有好轉(zhuǎn)的跡象。2018年12 月 28 日，F(xiàn)reebuf 稱(chēng)，“圈內(nèi)又在傳一張疑似12306泄露數(shù)據(jù)暗交易的圖，春運(yùn)搶票高峰還沒(méi)到，黑產(chǎn)分子就已經(jīng)出手了”。據(jù)稱(chēng)，這份數(shù)據(jù)包括 60 萬(wàn)賬戶信息，詳細(xì)到除了ID、手機(jī)號(hào)、密碼之外，連姓名、身份證、郵箱、問(wèn)題及答案然都有，根據(jù)安全問(wèn)題很可能能夠直接申訴獲取其它平臺(tái)賬戶的重要信息。

此外，還包括每個(gè)賬戶中添加的聯(lián)系人信息，涉及姓名及身份證號(hào)，這些聯(lián)系人數(shù)據(jù)總量高達(dá)410萬(wàn)。中國(guó)鐵路微博當(dāng)日辟謠稱(chēng)12306網(wǎng)站未發(fā)生用戶信息泄露，同時(shí)再次提醒用戶避免非正常渠道購(gòu)票帶來(lái)的風(fēng)險(xiǎn)。

雷鋒網(wǎng)在當(dāng)時(shí)的報(bào)道中指出，經(jīng)多方了解，業(yè)內(nèi)人士認(rèn)為此次的數(shù)據(jù)泄露可能是第三方搶票軟件被攻擊或歷史數(shù)據(jù)的清洗。要知道，第三方搶票軟件不僅能獲取核心的商業(yè)信息（如價(jià)格、用戶信息等），還會(huì)擾亂正常用戶的活動(dòng)（如搶購(gòu)、惡意刷票等），第三方會(huì)獲得越來(lái)越多業(yè)務(wù)營(yíng)收，但12306的信譽(yù)以及核心數(shù)據(jù)等方面則會(huì)遭受損失。

由此，我們就更能夠理解12306為什么要上線候補(bǔ)購(gòu)票的功能。

12306可能是這樣限制搶票軟件

那么，鐵路部門(mén)是如何識(shí)別第三方軟件搶票的相關(guān)機(jī)器特征并被實(shí)施限制措施？由于12306并沒(méi)有公布其具體的限制技術(shù)，因此雷鋒網(wǎng)詢問(wèn)了業(yè)內(nèi)專(zhuān)家，專(zhuān)家表示具體的原理不便講，但可以判定的是搶票軟件是程序（機(jī)器人）自動(dòng)運(yùn)行，屬于爬蟲(chóng)一類(lèi)。

因此我們可以參考防爬蟲(chóng)的對(duì)應(yīng)方式，以防爬蟲(chóng)的四種思路：特征庫(kù)直接封禁、JS無(wú)感人機(jī)識(shí)別、行為異常檢測(cè)和威脅情報(bào)庫(kù)去了解。第一種需要借助安全人員豐富的經(jīng)驗(yàn)，他們往往能很快從訪問(wèn)日志中看出有無(wú)異常行為，比如正常用戶不會(huì)直接請(qǐng)求的頁(yè)面訪問(wèn)卻不帶任何referer、從主域名跳轉(zhuǎn)過(guò)來(lái)的請(qǐng)求不帶任何cookie、request body中包含一個(gè)大量重復(fù)的手機(jī)號(hào)，這些明顯或不明顯的“特征”，都可以作為第一道爬蟲(chóng)檢測(cè)策略——特征封禁。

除了訪問(wèn)控制，通過(guò)JS采集網(wǎng)頁(yè)環(huán)境中的操作行為、設(shè)備硬件信息、指紋等特征來(lái)判斷請(qǐng)求是否來(lái)自于自動(dòng)化工具也是常見(jiàn)的思路。不過(guò)，雖然思路簡(jiǎn)單，但在沒(méi)什么秘密的前端對(duì)抗環(huán)境中，確保采集到的信息和風(fēng)險(xiǎn)判斷模型的準(zhǔn)確性卻是專(zhuān)業(yè)的安全團(tuán)隊(duì)投入相當(dāng)大的精力來(lái)建設(shè)的能力。

但是，特征匹配因具備很強(qiáng)的對(duì)抗特征，是最容易繞過(guò)的防護(hù)規(guī)則，這就涉及到行為異常行為檢測(cè)。說(shuō)到行為，大部分人第一反應(yīng)肯定是限速，不過(guò)限速有許多需要思考的細(xì)節(jié)問(wèn)題。另外， 從UBA（UserBehavior Analysis）角度去建模也是一種不錯(cuò)的思路，機(jī)器學(xué)習(xí)能夠綜合多個(gè)觀察角度和維度去識(shí)別爬蟲(chóng)，增加了繞過(guò)和對(duì)抗的成本，這是相對(duì)于規(guī)則類(lèi)防護(hù)的一個(gè)優(yōu)勢(shì)。而且，針對(duì)一些精心構(gòu)造的低頻、離散IP，機(jī)器學(xué)習(xí)可以很好的彌補(bǔ)規(guī)則檢測(cè)的短板。

威脅情報(bào)庫(kù)用一個(gè)例子來(lái)說(shuō)明，機(jī)票向來(lái)是爬蟲(chóng)重點(diǎn)關(guān)注的對(duì)象，一個(gè)黃?；蚵眯猩绫澈蟮呐老x(chóng)往往會(huì)光顧各大航司以獲取最全的票價(jià)信息，所以當(dāng)檢測(cè)到一個(gè)爬蟲(chóng)光顧了ABCDE航司后，他爬X航的概率大嗎？當(dāng)然。 這個(gè)不是假設(shè)，而是已經(jīng)在實(shí)際的流量中發(fā)現(xiàn)的行為。

由此拓展開(kāi)，基于一定的模型生成在多家航司網(wǎng)站上有過(guò)可疑行為的，實(shí)時(shí)的爬蟲(chóng)庫(kù)，這就是典型的云上協(xié)同防御模型。這樣對(duì)于新接入的X航來(lái)說(shuō)，甚至可以用情報(bào)的思路把防護(hù)做到事前。

至于12306到底是采用了哪些技術(shù)，還需等待確認(rèn)。

雷鋒網(wǎng)認(rèn)為，從安全性的角度看，從12306官方渠道確實(shí)相對(duì)更有保障，但相信許多用戶不使用12306網(wǎng)站和APP是因?yàn)閷?duì)其體驗(yàn)非常不滿。因此，從需求的角度看第三方搶票軟件仍有很強(qiáng)的需求，并且12306的限制與搶票軟件的對(duì)抗將會(huì)一直持續(xù)，直到春運(yùn)的關(guān)鍵問(wèn)題發(fā)生變化。

本文參考阿里云安全公眾號(hào)君揚(yáng)作者的《一場(chǎng)無(wú)休止的戰(zhàn)爭(zhēng) 淺談縱深防爬的”抗戰(zhàn)“ 之路》

相關(guān)文章：

鐵總否認(rèn)，那暗網(wǎng)超 400 萬(wàn) 12306 用戶數(shù)據(jù)是從哪泄露的？

尷尬！我被有償搶票軟件騙了，這貨居然搶不過(guò)12306

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。