被刷登录接口
自动更换ip地址的刷票软件是如何实现的?
于是我去淘宝找到一家刷票服务店,他承诺可以更换全国ip地址投票。结果确实成功了,而且速度很快(每小时5000~1万)。
我也是it从业人员,这种刷票的原理却百思不得其解。刷票公司能拥有数十万个独立ip吗?ip只能通过代理来改变,并不能伪装吧?
这么多独立ip,难道是肉鸡?老板告诉我他可以把软件一次性卖给我(价格较高我没买),这样想要多少票我都可以投。如果是肉鸡的话应该做不到吧?
这种软件是什么工作原理呢?
5 个回答
shotgun,信息安全从业15年
更新,来认真回答下编程实现的可能。
实际上不用第三方资源编程实现刷票还是有可能的,前提是网站的IP分析有破绽。
要想知道为什么,首先我们来看限制IP投票的机理:
有人说了,机理很简单,取客户端IP,然后记录数据库,同时累计本IP的投票次数,超过限额则不允许继续投票。
你说的很对,但是忽略了一个情况,如果一个公司只有一个网关,出口就是一个独立IP,是不是意味着无论这个公司多少人,都只能投一票?
可能这时候你还可以强辩,我给每个IP五票,所以每家公司可以投五次。
那你知不知道类似XX宽带神马的可能是一个城市只有一个/几个独立IP?
呃......
因此我们拿出RFC翻阅,终于发现原来获取客户端IP的方法并不止一个,至少有三个HTTP HEAD可以获取用户端IP,REMOTE_ADDR、HTTP_VIA、HTTP_FORWARDED_FOR,那么这三个参数有何不同呢?
REMOTE_ADDR是WEB服务器获取的用户IP值,也就是你最终的外网IP,它的坏处是,重复的太多,所以不能作为唯一判断标志。
HTTP_VIA是倒数第二个代理服务器/网关的IP
HTTP_FORWARDED_FOR是所有网关和你自己的IP列表,格式如:202.96.103.1,202.84.2.1,192.168.1.12
程序员如获至宝,就是它了,代码如下:
//先取代理IP列表
string strIP = Request.ServerVariables["HTTP_X_FORWARDED_FOR"];
if (string.IsNullOrEmpty(strIP))
{
//取不到代理IP则直接从服务器变量取
strIP = Request.ServerVariables["REMOTE_ADDR"];
}
于是,你掉坑了,因为HTTP_X_FORWARDED_FOR是可以改的,最简单的方法就是如@朱海洋 所说,自己架一个本地Proxy,然后IP乱变,复杂一点就用代码实现自己填充HTTP_HEAD
以上方法未必一定能成功,取决于服务器上代码的实现,如果人家铁了心就是要歧视没有公网IP的用户你也没辙。
=============
想想光教刷票不教防不地道,其实也很简单:REMOTE_ADDR限制1000个(可以根据网站访问量调整),每日清零;HTTP_X_FORWARDED_FOR(为空不计入)&& REMOTE_ADDR限制一次,不清零。
=============
给你几个可能答案:
内置了大量代理的软件,这些代理可能是他们自己运营的,或者是通过肉鸡架设的,或者网上找来的。
见过能同时插大量手机sim卡的卡槽么?短信刷票都是用这个的。
他们发布了某款免费软件,可以后台执行特定的http请求指令。
他们破解了某个用户数比较多的软件的服务器,可以控制客户端随意执行特定http请求。
他们手上有流量站,嵌入个代码不是很难,访问用户就不小心投了票。
利用互联网广告在线投放系统,把投票链接作为广告投放出去。
众包给五毛党,一票五毛。
我也不知道他们用哪个,反正都可以。
另外,人家不必把肉鸡的产权给你,只给使用权就好,75年。
1.IP限制+cookie判断。刷票者能通过adsl不断换IP,但总归是在同一台电脑上,虽然能清理cookie,但是至少让他们的操作变得麻烦了。
2.验证码+验证问题。验证码一定要搞牛逼点,不能被机器识别了。同时一定要加验证问题,可以自己写,我大概写了100多个问题,随机取,偶尔再去添加几个。这样很大程度上降低了刷票行为。基本只能由人工刷票了。
3.人工分析IP记录。存在刷票行为的记录,IP都是一个段内的,我是直接把刷票记录删掉。
4.再牛逼点就是手机短信验证了。这成本就大了。我没用。
防刷票机制研究和.NET HttpRequest Proxy
2014-04-22 20:48:51 发表评论
最近应朋友之约 测试他做的投票网站 防刷票机制能力如何,下面有一些心得和体会。
朋友网站用PHP写的,走的是HttpRequest,他一开始认为IP认证应该就差不多了。但说实话这种很low,手动更换代理服务器手动刷都可以。但程序员的手就是程序,于是,
首先先 百度到 一些 免费代理服务器,非常多网站分享这些。按一定格式来储存到TXT文件。
第二步使用Fiddler来进行截取消息,拿到其http request header和body:
第三步使用.NET HTTPREQUEST。逻辑是遍历代理txt里代理,伪造 fiddler监听到的request 消息(当然其中一些cookie和其他的细节需要改变根据不同情况讨论)
_contentsList = File.ReadAllLines(@"C:Proxy.txt");
var contents = _contentsList.ToList();
var proxy = string.Empty;
var port = 0;
foreach (var item in contents)
{
new Thread(() =>
{
try
{
// 获取代理
var list = item.Split(':');
proxy = list[0];
port = Convert.ToInt32(list[1]);
// 伪造消息
var request =
(HttpWebRequest)
WebRequest.Create(
@"http://XXX.COM");
request.Proxy = new WebProxy(proxy, port);
request.UserAgent = @"Mozilla/5.0 (Windows NT 6.3; WOW64; rv:28.0) Gecko/20100101 Firefox/28.0";
request.Referer = @"http://XXX.COM";
request.Method = "GET";
request.Host = @"XXX.COM";
request.Accept = @"*/*";
request.Headers.Add(@"Accept-Language", @"zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3");
request.Headers.Add(@"Accept-Encoding", @"gzip, deflate");
request.Headers.Add(@"X-Requested-With", @"XMLHttpRequest");
var response = request.GetResponse();
Console.WriteLine(response.ToString());
}
catch (Exception e)
{
Console.WriteLine(e.Message);
}
}
).Start();
然后我朋友发现这样的确问题很大,于是他采用了验证码验证模式,即首先服务器会发给你验证码,你发的request的uri里参数必须要包含相同的验证码。
这种方式非常好,至少干掉了绝大多数的刷票软件。但我仍然想试验一下,这有一种battle的味道。哈哈
其实这个逻辑来说就是一来一回。给我验证码图片,我识别出来,然后再发送就好了。难度就在于验证码的OCR。
一开始我朋友验证码非常简单,就是几个数字,于是我直接使用最基础的OCR识别就干掉了。
后来他加了噪点,OK,这个也没有问题。我们降噪,然后再识别,虽然机器学习需要一段时间,但正确率还是有一些的。
最后他采用了随机产生汉字,我发现,汉字的OCR是个很麻烦的事情。这也是我下一步要研究的点,以后会出一篇关于OCR的文章。
随后他说还会加入一些cookie验证什么的,到这里我觉得我朋友的网站现在算是挺完善了。然后我就问下我老大,如果是他,他会怎么来刷票。
我老大回复非常简单,租人人工刷,随你技术怎样,我给他们两毛一票,你算算时间成本,完全划得来。
虽然这可能就是他随口一说,但我有一些感悟。
