對于中國人而言，時至今日春運搶票依舊是春節(jié)期間大家最關(guān)注的話題之一。央視財經(jīng)報道，鐵路部門表示第三方軟件搶票的相關(guān)機器特征已經(jīng)被識別并被實施限制措施。這意味著即使用戶花錢在第三方軟件購買加速服務(wù)，購票的成功率也絕對不會像各個搶票軟件顯示的一樣。

12306為什么要限制第三方搶票軟件？他們的技術(shù)如何？

圖片來自中國鐵路微博

限制搶票軟件12306早有準備

春節(jié)期間全國交通運力與需求的不配以及鐵路部門飽受質(zhì)疑的購票系統(tǒng)讓第三方軟件成為了不少人購票的首選。這也帶來了安全和公平性等問題，因此鐵路部門在各方的壓力下持續(xù)改進購票系統(tǒng)，最近，12306動作不斷。

2018年11月3日，12306新版上線，新版網(wǎng)站界面UI更加清晰友好，移動頁面屬性更強，購票流程更加便捷，還增加了用戶掃碼登錄功能。2018年12月27日，鐵路部門正式宣布12306正式上線候補購票功能，雷鋒網(wǎng)了解到12306的候補購票功能指當旅客遇到車票售完的情況，在12306平臺登記購票信息支付預(yù)購票資金后，如有退票、余票，12306系統(tǒng)將自動為其購票，其購票速度和成功率都要強于搶票軟件。

更具體地說，在候補購票實行階段試點的始發(fā)地和到達地支持候補購票的列車，當火車票售罄之后會自動開啟候補購票。當然購票人首先需要通過人證驗證，并提交候補票購票訂單后售票系統(tǒng)自動安排網(wǎng)上排隊候補，當對應(yīng)的車次、席別因退票、改簽等業(yè)務(wù)產(chǎn)生可供發(fā)售的車票時，系統(tǒng)自動兌現(xiàn)車票，并將購票結(jié)果通知旅客。

12306官方的候補購票功能上線之時就有不少人認為這是第三方搶票軟件的大殺器。1月，鐵路部門就表示已經(jīng)對搶票軟件進行了限制。 

搶票軟件的風險

央視財經(jīng)在報道中提到，中國鐵路總局之所以采取相關(guān)措施是因為第三方搶票軟件存在安全隱患，個人隱私信息得不到保障。新京此前報道，有乘客下載了一款搶票軟件后，輸入時間、車次等購票信息，沒一會兒軟件就提示“搶票成功”，但該乘客按照提示將個人信息包括銀行卡和密碼都輸入進去，準備付錢買票時，突然收到銀行發(fā)來的提示短信，銀行卡里的數(shù)千元被刷走，聯(lián)系搶票軟件的客服，才發(fā)現(xiàn)是空號。

上面是買票不成反被騙的案例，然而還有很大的信息泄露風險。鐵道部在2011年開始試水網(wǎng)絡(luò)售票服務(wù)，并在2011年底兌現(xiàn)了網(wǎng)絡(luò)售票覆蓋所有車次的承諾。不過自網(wǎng)絡(luò)售票服務(wù)開始，用戶信息泄露一直都是12306的困擾。

2014年，報道稱有超過13萬12306的用戶數(shù)據(jù)在互聯(lián)網(wǎng)上傳播售賣。不過，12306網(wǎng)站回應(yīng)稱，經(jīng)核查，此泄露信息全部含有用戶的明文密碼，12306網(wǎng)站數(shù)據(jù)庫所有用戶密碼均為多次加密的非明文轉(zhuǎn)換碼，網(wǎng)上泄露的用戶信息系經(jīng)其他網(wǎng)站或渠道流出。

12306還發(fā)布公告提醒乘客通過12306官方網(wǎng)站購票，不要使用第三方搶票軟件購票，或委托第三方網(wǎng)站購票，以防止個人身份信息外泄。同時還提醒稱，部分第三方網(wǎng)站開發(fā)的搶票神器中，有捆綁式銷售保險功能，請乘客注意。

在利益的驅(qū)使下，信息泄露的問題并沒有好轉(zhuǎn)的跡象。2018年12 月 28 日，F(xiàn)reebuf 稱，“圈內(nèi)又在傳一張疑似12306泄露數(shù)據(jù)暗交易的圖，春運搶票高峰還沒到，黑產(chǎn)分子就已經(jīng)出手了”。據(jù)稱，這份數(shù)據(jù)包括 60 萬賬戶信息，詳細到除了ID、手機號、密碼之外，連姓名、身份證、郵箱、問題及答案然都有，根據(jù)安全問題很可能能夠直接申訴獲取其它平臺賬戶的重要信息。

此外，還包括每個賬戶中添加的聯(lián)系人信息，涉及姓名及身份證號，這些聯(lián)系人數(shù)據(jù)總量高達410萬。中國鐵路微博當日辟謠稱12306網(wǎng)站未發(fā)生用戶信息泄露，同時再次提醒用戶避免非正常渠道購票帶來的風險。

雷鋒網(wǎng)在當時的報道中指出，經(jīng)多方了解，業(yè)內(nèi)人士認為此次的數(shù)據(jù)泄露可能是第三方搶票軟件被攻擊或歷史數(shù)據(jù)的清洗。要知道，第三方搶票軟件不僅能獲取核心的商業(yè)信息（如價格、用戶信息等），還會擾亂正常用戶的活動（如搶購、惡意刷票等），第三方會獲得越來越多業(yè)務(wù)營收，但12306的信譽以及核心數(shù)據(jù)等方面則會遭受損失。

由此，我們就更能夠理解12306為什么要上線候補購票的功能。

12306可能是這樣限制搶票軟件

那么，鐵路部門是如何識別第三方軟件搶票的相關(guān)機器特征并被實施限制措施？由于12306并沒有公布其具體的限制技術(shù)，因此雷鋒網(wǎng)詢問了業(yè)內(nèi)專家，專家表示具體的原理不便講，但可以判定的是搶票軟件是程序（機器人）自動運行，屬于爬蟲一類。

因此我們可以參考防爬蟲的對應(yīng)方式，以防爬蟲的四種思路：特征庫直接封禁、JS無感人機識別、行為異常檢測和威脅情報庫去了解。第一種需要借助安全人員豐富的經(jīng)驗，他們往往能很快從訪問日志中看出有無異常行為，比如正常用戶不會直接請求的頁面訪問卻不帶任何referer、從主域名跳轉(zhuǎn)過來的請求不帶任何cookie、request body中包含一個大量重復(fù)的手機號，這些明顯或不明顯的“特征”，都可以作為第一道爬蟲檢測策略——特征封禁。

除了訪問控制，通過JS采集網(wǎng)頁環(huán)境中的操作行為、設(shè)備硬件信息、指紋等特征來判斷請求是否來自于自動化工具也是常見的思路。不過，雖然思路簡單，但在沒什么秘密的前端對抗環(huán)境中，確保采集到的信息和風險判斷模型的準確性卻是專業(yè)的安全團隊投入相當大的精力來建設(shè)的能力。

但是，特征匹配因具備很強的對抗特征，是最容易繞過的防護規(guī)則，這就涉及到行為異常行為檢測。說到行為，大部分人第一反應(yīng)肯定是限速，不過限速有許多需要思考的細節(jié)問題。另外， 從UBA（UserBehavior Analysis）角度去建模也是一種不錯的思路，機器學(xué)習(xí)能夠綜合多個觀察角度和維度去識別爬蟲，增加了繞過和對抗的成本，這是相對于規(guī)則類防護的一個優(yōu)勢。而且，針對一些精心構(gòu)造的低頻、離散IP，機器學(xué)習(xí)可以很好的彌補規(guī)則檢測的短板。

威脅情報庫用一個例子來說明，機票向來是爬蟲重點關(guān)注的對象，一個黃?；蚵眯猩绫澈蟮呐老x往往會光顧各大航司以獲取最全的票價信息，所以當檢測到一個爬蟲光顧了ABCDE航司后，他爬X航的概率大嗎？當然。 這個不是假設(shè)，而是已經(jīng)在實際的流量中發(fā)現(xiàn)的行為。

由此拓展開，基于一定的模型生成在多家航司網(wǎng)站上有過可疑行為的，實時的爬蟲庫，這就是典型的云上協(xié)同防御模型。這樣對于新接入的X航來說，甚至可以用情報的思路把防護做到事前。

至于12306到底是采用了哪些技術(shù)，還需等待確認。

雷鋒網(wǎng)認為，從安全性的角度看，從12306官方渠道確實相對更有保障，但相信許多用戶不使用12306網(wǎng)站和APP是因為對其體驗非常不滿。因此，從需求的角度看第三方搶票軟件仍有很強的需求，并且12306的限制與搶票軟件的對抗將會一直持續(xù)，直到春運的關(guān)鍵問題發(fā)生變化。

本文參考阿里云安全公眾號君揚作者的《一場無休止的戰(zhàn)爭 淺談縱深防爬的”抗戰(zhàn)“ 之路》

相關(guān)文章：

鐵總否認，那暗網(wǎng)超 400 萬 12306 用戶數(shù)據(jù)是從哪泄露的？

尷尬！我被有償搶票軟件騙了，這貨居然搶不過12306

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。