黄牛党与程序猿的双11攻防战

图片来源@视觉中国

11月11日1时47分，2018天猫双11全球购物狂欢节成交额超过1000亿元，比2017年达到1000亿元的时间缩短了7个小时。

京东方面，截止到11月10日22点56分，京东11.11全球好物节累计下单金额突破1000亿元。其中，11月1日，超级秒杀日下单金额超过258亿元。

这些惊人的交易额背后也是剁手党们拼手速的时刻。每年双11的0点，那些让利多、库存有限的爆款商品，一经开卖就会秒没，而在这场拼手速大战中与你“同台竞技”的，除了同样熬夜奋战的剁手党们，还有一群带着精良武器而来的黄牛党。

哪里有倒卖生意可做，哪里就有黄牛党。

越来越多的大促和被搬到线上的新品首发，都是黄牛党们瞄上电商的原因。而一年当中让利最多、品牌参与范围最广的双11，几乎可以引得所有黄牛党倾巢而出。

每年的这个节点，也是程序猿们压力最大的时候，业务端每多一个模块加入、每多一个促销的玩法，他们的神经都会绷的更紧一些，因为这意味多了一个可以让黄牛钻空子的机会。

在双11前的几天，各家电商的安全布防都已全部就位，大家尽最大努力为所有潜在风险做好了防御，而等待他们的，是一场与黄牛党的“恶战”。

黄牛党江湖

黄牛党们针对双11的准备工作，在十几天前就陆续开始了，在哪个时间点、哪个平台会有多少的商品，有怎样的优惠力度，黄牛党们都会有专门的团队去负责跟踪这些数据。

准备工作完成后，专门负责秒杀和抢单的黄牛就会在双11这天出动了。据钛媒体了解，如今市面上的黄牛可以大致分为两派，一派是用机器软件去抢拍商品，另一派则是组织一些兼职人群“人肉”抢购。

事实上，在这两种方式之前，还有一种是通过批量注册账号的方式，不过随着各家公司安全防御水位的上升，这种方式已不再奏效。

小K是一个黄牛软件作者，今年二十多岁的他，大学学的是机械工程，毕业后进了一家互联网公司做 VB 开发。作为一名铁杆“米粉”，接连一个月抢机失败让他很受挫，于是他开始研究软件抢购，而第一版软件就帮他秒到了一台手机，志得意满的他把自己的软件共享到了论坛上，软件的好口碑吸引来了很多人的关注，其中就包括一个叫小C的人。

小C早两年一直在做电商店铺引流软件的推广，不过这两年这块的代理生意越来越难做，于是2014年他开始另谋财路——代理黄牛软件。

小C此前代理过几款黄牛软件，赚了不少钱，好的时候半年的流水能有几百万，听到卖软件这么赚钱，小K十分心动。小C提出想要代理小K的软件，分成两人按二八分，自己出技术居然只能拿到二成，小K觉得这太不合理。

抱着货好不怕没销路的想法，小K开始自己卖软件，不过几个月过去，软件的用户量却始终涨不上去，而且一边要推销软件，一边还要操心软件的更新和维护，这让小K感到十分疲惫，最终，小K不得不选择妥协，开始与小C合作。

从2014年做针对几家手机公司官网的软件，到2015年开发针对电商平台的软件，两人一搭档就是几年，在与小C合作的两年时间里，小K每年差不多能赚到两百多万，这与圈内多数收入不过几十万的软件作者相比，算是十分可观。

在黄牛圈，软件能卖出怎样的价码，与软件的好用程度其实没有太大关系，代理的包装和推广能力才是决定软件销量的关键。雇佣水军在各个贴吧、论坛、黄牛QQ群里“安利”自家软件、吐槽竞品，是小C的惯用手段。

阿乐是一年前开始使用小K家软件的，作为一名职业黄牛，小米手机是他做黄牛生意的起点，一部手机一转手就300块到手，这钱太好赚了。

在2015年之前，阿乐都采取的是手动抢购，后来他发现了黄牛软件这个神器，随即从人肉转向机器抢购，不过黑灰产软件的生命周期都很短，所以他需要不断去发掘新软件。

从一年700块到一年2500的软件阿乐都用过，这些钱对他来说并不算太大的投入，一台华为保时捷官方售九千，抢到一转手就是两万，一下就回本了。

不过他也在买软件上花过不少冤枉钱，很多卖得很贵的软件拿到手却发现并不好用，还有一些代理会把已经不能用的软件拿出来充数，鱼龙混杂之下，要想找到一款好软件并不容易。

而且随着用黄牛软件的人越来越多，软件间的竞争也日益激烈，不断被黄牛流量挤垮服务器的电商平台们也开始注意到了这部分群体，从2016年开始，小K的软件每次升级更新都会在很短时间内被封杀，明明测试的时候可以用，但一发布到用户手里就不能用了。

圈子内其他的软件也都遭遇了类似的情况，能用的软件越来越少，这迫使很多黄牛党在这两年不得不回归人肉抢购的老路，也就是雇佣一些大学生或无业人员，在微信或QQ群向他们发布抢购任务，然后统一寄到固定的地址。

不过这种模式终究效率太低，不是长久之计，每个人都急于想知道，何时会有一款新软件出现，一款比小K家更好用的软件。

黄牛危机

2016年4月，发生了一起让整个阿里巴巴安全部都印象深刻的危机，大量机器流量的进入占领了大部分通道，让淘宝系统一度崩溃，正常用户几乎下不了单，而这样的交易系统的故障在短短一个月内发生了四次，这在阿里内部算是非常高级别的安全故障了。

而这些故障背后的原因，是多个黄牛团队为争抢商品，在相互竞争中不断添置大量的服务器，导致系统不堪重负。这起事件的爆发，让黄牛问题真正走入阿里安全部的视野，也让整个安全部开始反思自身存在的问题。

砚墨，是参与排查解决这次事件的主要成员，对于2016年的这起危机，他的思考是，对手比他们更了解平台的业务系统，比如在平台上有什么优惠、安全部的人都不知道，外面黄牛却已经知道了。黄牛每天有专人在盯着平台业务上的变化并尝试去破解平台上的协议，但安全部对于外部的这些对手却了解甚少。

于是，在这起事件之后，整个安全部从各个团队中抽调出了二三十个精兵强将，组成了一个专门打击黄牛的的项目组——3417项目室。

这个项目组的任务主要有三个，第一要务就是“止血”，也就是在大规模黄牛的攻击之下，先保证交易系统的正常运行；第二就是与业务部门一起，把整个平台的交易系统全部重新梳理一遍，对残留的风险进行评估；第三是在前两者的基础上，去改进平台的安全产品，构建一个完整的纵深防御线。

这场工程浩大的治理花费了近半年的时间，其中大部分的时间都花在了“止血”和“考古”。

淘宝创立至今已经有二十多年，整个交易系统已经建立了很长时间，而很多历史久远的交易系统就成了年久失修的安全盲区。

“原来写这个交易系统的人可能已经离职了，原来做交易系统安全的人可能也走了，所以我们2016年去接手的时候，做的第一件事就是‘考古’，挖掘出我们的交易系统到底是怎么运作的，有可能从哪些途径去下单。”砚墨这样向钛媒体解释道。

在很多人眼里一个简单的下单动作，其实背后要经过很多个环节，这个环节在不同年份所走的路径都是不一样的，中间所经过的保护层也不相同，而年代越越往前的版本，防护手段越弱，被破解的可能性也越大。有些防御较弱的路径，黄牛甚至可以做到绕开淘宝APP，一个脚本敲下回车就能直接与交易系统互动，而这意味着黄牛可以用比正常用户更快更精准的方式去下单。

所以要构建防线，第一要务就是知道到底有多少条路径能够通向平台的交易系统。

如今的阿里可以说是家大业大，整个阿里系的业务涵盖了电商、物流、大文娱等多个领域，而每个大的业务板块底下又有多个垂直业务线，3417项目室在对庞杂交错的业务线做了一番梳理后发现，整个交易系统上游居然大概有几十个可以下单的路径，而其中有很多路径几乎处于 “裸奔”状态。

之后的半年时间里，整个安全部都处于一个很被动的状态，面对外部强大的对手，除了“止血”，手里能打的牌并不多，于是，部门内部决定，要重新构建一套新的安全系统。不过这个时候已经是2016年的9月，新的安全系统已经来不及上线，一年一度的双11大战已经迫在眉睫。

为了保障双11的正常进行，安全部技术、业务团队在9月底组成联席会议，共同研究应对机器下单行为的应对策略。在新系统还没到位的情况下，当时只能先用手头现有的防线去整合一个相对有效的部署，来熬过这一年的双11。

平台的三道防御线

在2016年双11之后，阿里安全部正式立项，开始着手做新的系统，整个时间持续了近半年，在2017年的5月，新系统的第一个版本发布，被直接部署在了阿里巴巴集团业务的最前端。

这套系统的主要的使命是，对异常流量进行清洗处置。比如，系统会校验某个订单的协议是不是被伪造了、是不是从一个真实的设备发射出来的、是不是来自真实用户的浏览器等等。而这套新的系统，无论是设计逻辑还是架构，都与以前的版本完全不同，这使得它在应对攻击时的灵活性和防护效果都有较大的提升。

比如说，以往黑灰产用一个新的手法来发起攻击，平台要去防御它，需要走一个很长的流程，从被攻击到防御功能上线需要几周的时间，而在这段时间内平台能做的只有“止血”。

但新的系统上线后，对于一个新的攻击手法，系统基本做到很快发现，并给出快速响应对策，接着采取一个新的手段上线拦截。

性能提升的原因主要有两点：首先新系统整条链路上的所有的点都是可以灵活设置的；其次它结合了大量的机器学习，可以做到分钟级的变化线上的拦截模型，从而自动根据线上的情况做出调整。

比如黄牛在发起一个新的攻击后，系统会在一分钟内做出反应，去构造出一个能够拦截这种攻击的模型，然后推送到线上去，如果线上业务形态出现了变化，出现误拦截，系统也会做自适应的调整，尽可能减少对用户的打扰。

不过光有流量端的拦截还远远不够，因为这套系统是拦截不到上文提到的人肉黄牛的。尤其是随着平台对黄牛软件技术防控的加强，很多靠机器抢购的黄牛又重回原始的“人肉”抢购方式。

梁樟所在的团队，就是应对这部分问题的，他们会从业务层面对用户行为、设备、收货、账号、地址等的合法性进行一些校验，校验成功后才会生成一个订单。

2018年6月，阿里也为应对黄牛问题上线了一款“反黄牛”软件，这款软件主要是面向商家端，通过这款软件，商家可以对需要防护的商品进行自行设置。

每年梁樟都会带领团队对商家进行走访，这两年他们发现，黄牛已经成为他们最大的痛点，线上线下串货的现象让品牌和经销商都感到十分苦恼。

在串货之外，还有更大的危机潜藏其中，“今天如果我的销售都来自于黄牛，没有真实的用户，万一某一天当我的货不再稀缺的时候，我的店会瞬间崩盘。”一家澳洲奶粉品牌曾向钛媒体这样表示他们的担忧。

要想真正消灭对手，除了被动的防，还要主动的攻，而先决条件是——足够了解对手，于是，在部署各种防御策略的同时，安全部还着力搭建了一套完整的安全风控体系。

尘安所在的项目组中，有的人专门负责研究网络黑灰产及其软件，比如，他们会分析一款软件是怎么写的，是利用了平台的哪些下单入口，是破解了APP还是破解了网站的交易协议；还有人是专门研究黄牛的整个供应链的，包括软件是怎么交付到黄牛手中的，如何被黄牛利用的，商品是如何发货、卖掉，资金又怎么回笼的。

据尘安向钛媒体介绍，截止目前，阿里安全部已经联合执法机关打掉了近十款针对阿里平台的头部黄牛软件，这些软件涉及的交易流量可以占到全部黄牛软件的80％。

在双11前的几天，所有的安全布防已全部就位，但每个人的心里依然忐忑，每个人都盼望今年的双11能安然度过，砚墨所在的团队从双11的前一天开始就要在总指挥中心“光明顶”值班，随时应对突发危机，而梁樟所在团队则要在双11这一天奔走于好几个场，零点开卖、一点预售付尾款、九点线下店开门⋯⋯

大概就如梁樟所说，攻和防的本质在于提高对手的犯罪成本，而并不能将风险完全扼杀，因为很多的潜在风险都来自于未知。

“就像今年更新的IPv6协议，它对于业务部门是巨大的机会，但对安全部门却是难以预测的挑战，原来是一条十米长的小道，在这条路上我可以布置很多坎，但现在它变成了一条一万公里，甚至看不到尽头的路，我该怎么设防？所以我没法完全自信的说，我已经掌握了全局。” （本文首发钛媒体，作者/谢康玉）

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App