12306要限制第三方抢票软件？他们的技术如何？

脚本之家

您加入数百万开发者行列

来源/雷锋文章/包永刚

对于国人来说，抢春运机票仍然是春节期间最受关注的话题之一。 央视财经报道称，铁路部门表示，已查明第三方软件抢票的相关机器特征，并已实施限制措施。 这意味着，即使用户花钱通过第三方软件购买加速服务，其购票成功率也绝不会像各种抢票软件所显示的那样。

12306为什么要限制第三方抢票软件？ 他们的技术怎么样？

图片来自中国铁路微博

12306已准备限制抢票软件

春节期间，全国运输能力与需求的不匹配以及铁路部门的购票系统存在问题，让第三方软件成为很多人购票的首选。 这也带来了安全、公平等问题。 因此，铁路部门在各方压力下不断完善购票制度。 近期，12306已有所行动。

2018年11月3日，12306新版本上线。 新的网站界面UI更加清晰友好，移动页面属性更强，购票流程更加便捷，并增加了用户扫描登录功能。

2018年12月27日，铁路部门正式宣布，12306正式上线候补购票功能。 雷锋网获悉，12306的候补购票功能是指，当旅客遇到车票售完的情况时，可以在12306平台登记自己的车票信息，用于支付预购费用。 门票资金到位后，如有退款或剩余门票，12306系统将自动为其购票。 其购票速度和成功率均优于抢票软件。

具体来说，在候补票务实施阶段支持试点始发地和到达地候补票务的列车，当火车票售完后，将自动开候补票。 当然，购票者首先需要通过身份验证并提交备用购票订单。 之后，票务系统将自动安排在线等候名单。 当相应车次、座位因退票、变更等原因有票可售时，系统将自动兑换车票，并通知旅客购票结果。

当12306官方候补购票功能推出时，很多人都认为这是第三方抢票软件的一大杀手锏。 1月份，铁路部门表示对抢票软件进行了限制。

抢票软件的风险

央视财经在报道中提到，中国铁路总局采取相关措施是因为第三方抢票软件存在安全风险，个人隐私信息无法得到保护。

新京报此前报道称，一名旅客下载抢票软件后，输入时间、车次等购票信息。 过了一会儿，软件提示“抢票成功”，但乘客按照提示提供了所有个人信息，包括银行卡和密码。 输入信息准备支付车票后，突然收到银行的提醒短信。 银行卡里的几千块钱被刷走了。 我联系了抢票软件的客服12306铁道部官方抢票软件，发现号码是空的。

以上是一个被骗而不买票的案例，但仍然存在巨大的信息泄露风险。 铁道部于2011年开始试行网上购票服务，2011年底实现了覆盖所有列车的承诺。 然而，自网上购票服务推出以来，用户信息泄露一直是12306面临的问题。

据报道，2014年有超过1312,306名用户的数据在互联网上流通和出售。 但12306网站回应称，经核实，所有泄露的信息均包含用户的明文密码。 12306网站数据库中的所有用户密码都是经过多次加密的非明文转换码。 网上泄露的用户信息是通过其他网站或渠道泄露的。

12306还发布公告，提醒旅客通过12306官网购票，不要使用第三方抢票软件购票，或委托第三方网站购票，防止个人身份信息泄露。 同时也提醒，部分第三方网站开发的抢票工具存在保险功能捆绑销售，请旅客注意。

在利益的驱动下，信息泄露问题并没有好转的迹象。 2018年12月28日，Freebuf表示，“又一张疑似12306泄露数据秘密交易的图片正在圈内流传，春节抢票高峰期尚未到来，犯罪分子已经行动起来。” 据称，这些数据包含了60万个账户信息，详细程度除了ID、手机号、密码外，还包括姓名、身份证、邮箱、问题和答案。 基于安全问题，很可能你可以直接诉诸其他平台。 重要的帐户信息。

此外，它还包括添加到每个帐户的联系信息，包括姓名和身份证号码。 这些联系人数据总量高达410万条。 中国铁路微博当天辟谣，称12306网站没有泄露用户信息，并再次提醒用户避免通过非正常渠道购票带来的风险。

经多方了解，业内人士认为，此次数据泄露可能是由于第三方抢票软件受到攻击或历史数据被清洗所致。 要知道，第三方抢票软件不仅可以获取核心业务信息（如价格、用户信息等），还会扰乱正常的用户活动（如抢购、恶意抢票等）。 第三方将获得越来越多的业务运营。 但12306的声誉和核心数据将遭受损失。

由此，我们可以更好地理解为什么12306推出了备用购票功能。

12306如何限制抢票软件

那么，铁路部门是如何识别第三方软件抢票相关机器特征并实施限制措施的呢？ 由于12306尚未公布其具体限制技术，雷锋网询问了业内专家。 专家表示，具体原理不方便解释，但可以确定，抢票软件是由程序（机器人）自动运行的，属于爬虫的范畴。

因此，我们可以参考反爬虫的相应方法来理解反爬虫的四种思路：特征库直接禁止、JS无传感器人机识别、异常行为检测和威胁情报库。

第一类需要保安人员丰富的经验。 他们往往可以从访问日志中快速看出是否存在异常行为，例如访问正常用户在没有Referer的情况下不会直接请求的页面，或者从主域名跳转。 请求中不携带任何cookie，请求体中包含大量重复的手机号码。 这些明显或不明显的“特征”都可以作为第一个爬虫检测策略——特征阻塞。

除了访问控制之外，利用JS收集Web环境中的操作行为、设备硬件信息、指纹等特征来判断请求是否来自自动化工具也是一种常见的思路。 不过，想法虽然简单，但在没有秘密的前端对抗环境中，保证采集信息和风险判断模型的准确性是专业安全团队投入大量精力打造的能力。

然而，特征匹配由于其较强的对抗性特征，是最容易绕过的保护规则，其中涉及异常行为检测。 说到行为，大多数人的第一反应肯定是限速，但限速有很多细节需要考虑。 另外，从UBA（用户行为分析）的角度进行建模也是一个不错的想法。 机器学习可以整合多个观察角度和维度来识别爬虫，增加了绕行和对抗的成本。 这与基于规则的保护相比。 一个优势。 而且，对于一些精心构建的低频、离散IP，机器学习可以很好地弥补规则检测的不足。

威胁情报库用一个例子来说明，机票一直是爬虫关注的重点。 旅行社背后的黄牛或者爬虫往往会光顾各大航空公司以获得最全的票价信息，那么当爬虫被检测到访问过ABCDE成为航空公司后，他加入X航空公司的概率大吗？ 当然。 这不是假设，而是在实际流量中发现的行为。

由此展开，基于一定的模型，生成在多个航空公司网站上存在可疑行为的实时爬虫库。 这是典型的云协同防御模型。 这样，对于新接入的X航空来说，甚至可以利用情报思路提前提供保障。

至于12306采用了什么技术，还需要等待确认。

笔者认为12306铁道部官方抢票软件，从安全角度来看，12306官方渠道确实更安全，但相信很多用户不使用12306网站和APP，是因为他们对自己的体验非常不满意。 因此，从需求角度来看，第三方抢票软件的需求依然强劲，12306的限制与抢票软件之间的对抗还将持续到春运关键问题发生变化。

本文参考阿里云安全公众号君阳作者《一场无休止的战争：浅谈深度反爬的“抵抗之路”》