黄牛党与程序猿的双11攻防战

“原来写这个交易系统的人可能已经离职了，原来做交易系统安全的人可能也走了，所以我们2016年去接手的时候，做的第一件事就是‘考古’，挖掘出我们的交易系统到底是怎么运作的，有可能从哪些途径去下单。”砚墨这样向钛媒体解释道。

在很多人眼里一个简单的下单动作，其实背后要经过很多个环节，这个环节在不同年份所走的路径都是不一样的，中间所经过的保护层也不相同，而年代越越往前的版本，防护手段越弱，被破解的可能性也越大。有些防御较弱的路径，黄牛甚至可以做到绕开淘宝APP，一个脚本敲下回车就能直接与交易系统互动，而这意味着黄牛可以用比正常用户更快更精准的方式去下单。

所以要构建防线，第一要务就是知道到底有多少条路径能够通向平台的交易系统。

如今的阿里可以说是家大业大，整个阿里系的业务涵盖了电商、物流、大文娱等多个领域，而每个大的业务板块底下又有多个垂直业务线，3417项目室在对庞杂交错的业务线做了一番梳理后发现，整个交易系统上游居然大概有几十个可以下单的路径，而其中有很多路径几乎处于 “裸奔”状态。

之后的半年时间里，整个安全部都处于一个很被动的状态，面对外部强大的对手，除了“止血”，手里能打的牌并不多，于是，部门内部决定，要重新构建一套新的安全系统。不过这个时候已经是2016年的9月，新的安全系统已经来不及上线，一年一度的双11大战已经迫在眉睫。

为了保障双11的正常进行，安全部技术、业务团队在9月底组成联席会议，共同研究应对机器下单行为的应对策略。在新系统还没到位的情况下，当时只能先用手头现有的防线去整合一个相对有效的部署，来熬过这一年的双11。

平台的三道防御线

在2016年双11之后，阿里安全部正式立项，开始着手做新的系统，整个时间持续了近半年，在2017年的5月，新系统的第一个版本发布，被直接部署在了阿里巴巴集团业务的最前端。

这套系统的主要的使命是，对异常流量进行清洗处置。比如，系统会校验某个订单的协议是不是被伪造了、是不是从一个真实的设备发射出来的、是不是来自真实用户的浏览器等等。而这套新的系统，无论是设计逻辑还是架构，都与以前的版本完全不同，这使得它在应对攻击时的灵活性和防护效果都有较大的提升。

比如说，以往黑灰产用一个新的手法来发起攻击，平台要去防御它，需要走一个很长的流程，从被攻击到防御功能上线需要几周的时间，而在这段时间内平台能做的只有“止血”。

但新的系统上线后，对于一个新的攻击手法，系统基本做到很快发现，并给出快速响应对策，接着采取一个新的手段上线拦截。

性能提升的原因主要有两点：首先新系统整条链路上的所有的点都是可以灵活设置的；其次它结合了大量的机器学习，可以做到分钟级的变化线上的拦截模型，从而自动根据线上的情况做出调整。

比如黄牛在发起一个新的攻击后，系统会在一分钟内做出反应，去构造出一个能够拦截这种攻击的模型，然后推送到线上去，如果线上业务形态出现了变化，出现误拦截，系统也会做自适应的调整，尽可能减少对用户的打扰。

不过光有流量端的拦截还远远不够，因为这套系统是拦截不到上文提到的人肉黄牛的。尤其是随着平台对黄牛软件技术防控的加强，很多靠机器抢购的黄牛又重回原始的“人肉”抢购方式。

梁樟所在的团队，就是应对这部分问题的，他们会从业务层面对用户行为、设备、收货、账号、地址等的合法性进行一些校验，校验成功后才会生成一个订单。

2018年6月，阿里也为应对黄牛问题上线了一款“反黄牛”软件，这款软件主要是面向商家端，通过这款软件，商家可以对需要防护的商品进行自行设置。

每年梁樟都会带领团队对商家进行走访，这两年他们发现，黄牛已经成为这两年他们最大的痛点，线上线下串货的现象让品牌和经销商都感到十分苦恼。

在串货之外，还有更大的危机潜藏其中，“今天如果我的销售都来自于黄牛，没有真实的用户，万一某一天当我的货不再稀缺的时候，我的店会瞬间崩盘。”一家澳洲奶粉品牌曾向钛媒体这样表示他们的担忧。

要想真正消灭对手，除了被动的防，还要主动的攻，而先决条件是——足够了解对手，于是，在部署各种防御策略的同时，安全部还着力搭建了一套完整的安全风控体系。

尘安所在的项目组中，有的人专门负责研究网络黑灰产及其软件，比如，他们会分析一款软件是怎么写的，是利用了平台的哪些下单入口，是破解了APP还是破解了网站的交易协议；还有人是专门研究黄牛的整个供应链的，包括软件是怎么交付到黄牛手中的，如何被黄牛利用的，商品是如何发货、卖掉，资金又怎么回笼的。

据尘安向钛媒体介绍，截止目前，阿里安全部已经联合执法机关打掉了近十款针对阿里平台的头部黄牛软件，这些软件涉及的交易流量可以占到全部黄牛软件的80％。

在双11前的几天，所有的安全布防已全部就位，但每个人的心里依然忐忑，每个人都盼望今年的双11能安然度过，砚墨所在的团队从双11的前一天开始就要在总指挥中心“光明顶”值班，随时应对突发危机，而梁樟所在团队则要在双11这一天奔走于好几个场，零点开卖、一点预售付尾款、九点线下店开门

大概就如梁樟所说，攻和防的本质在于提高对手的犯罪成本，而并不能将风险完全扼杀，因为很多的潜在风险都来自于未知。

“就像今年更新的IPv6协议，它对于业务部门是巨大的机会，但对安全部门却是难以预测的挑战，原来是一条十米长的小道，在这条路上我可以布置很多坎，但现在它变成了一条一万公里，甚至看不到尽头的路，我该怎么设防？所以我没法完全自信的说，我已经掌握了全局。”（本文首发钛媒体，作者/谢康玉）

更多精彩内容，关注钛媒体微信号（ID：taimeiti），或者下载钛媒体App

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!