[[249074]]

　　11 月 11 日 1 時 47 分，2018 天貓雙 11 全球購物狂歡節成交額超過 1000 億元，比 2017 年達到 1000 億元的時間縮短了 7 個小時。

　　京東方面，截止到 11 月 10 日 22 點 56 分，京東 11.11 全球好物節累計下單金額突破 1000 億元。其中，11 月 1 日，超級秒殺日下單金額超過 258 億元。

　　這些驚人的交易額背后也是剁手黨們拼手速的時刻。每年雙 11 的 0 點，那些讓利多、庫存有限的爆款商品，一經開賣就會秒沒，而在這場拼手速大戰中與你“同臺競技”的，除了同樣熬夜奮戰的剁手黨們，還有一群帶著精良武器而來的黃牛黨。

　　哪里有倒賣生意可做，哪里就有黃牛黨。

　　越來越多的大促和被搬到線上的新品首發，都是黃牛黨們瞄上電商的原因。而一年當中讓利最多、品牌參與范圍最廣的雙 11，幾乎可以引得所有黃牛黨傾巢而出。

　　每年的這個節點，也是程序猿們壓力最大的時候，業務端每多一個模塊加入、每多一個促銷的玩法，他們的神經都會繃的更緊一些，因為這意味多了一個可以讓黃牛鉆空子的機會。

　　在雙 11 前的幾天，各家電商的安全布防都已全部就位，大家盡最大努力為所有潛在風險做好了防御，而等待他們的，是一場與黃牛黨的“惡戰”。

　　黃牛黨江湖

　　黃牛黨們針對雙 11 的準備工作，在十幾天前就陸續開始了，在哪個時間點、哪個平臺會有多少的商品，有怎樣的優惠力度，黃牛黨們都會有專門的團隊去負責跟蹤這些數據。

　　準備工作完成后，專門負責秒殺和搶單的黃牛就會在雙 11 這天出動了。據鈦媒體了解，如今市面上的黃牛可以大致分為兩派，一派是用機器軟件去搶拍商品，另一派則是組織一些兼職人群“人肉”搶購。

　　事實上，在這兩種方式之前，還有一種是通過批量注冊賬號的方式，不過隨著各家公司安全防御水位的上升，這種方式已不再奏效。

　　小K是一個黃牛軟件作者，今年二十多歲的他，大學學的是機械工程，畢業后進了一家互聯網公司做 VB 開發。作為一名鐵桿“米粉”，接連一個月搶機失敗讓他很受挫，于是他開始研究軟件搶購，而第一版軟件就幫他秒到了一臺手機，志得意滿的他把自己的軟件共享到了論壇上，軟件的好口碑吸引來了很多人的關注，其中就包括一個叫小C的人。

　　小C早兩年一直在做電商店鋪引流軟件的推廣，不過這兩年這塊的代理生意越來越難做，于是 2014 年他開始另謀財路——代理黃牛軟件。

　　小C此前代理過幾款黃牛軟件，賺了不少錢，好的時候半年的流水能有幾百萬，聽到賣軟件這么賺錢，小K十分心動。小C提出想要代理小K的軟件，分成兩人按二八分，自己出技術居然只能拿到二成，小K覺得這太不合理。

　　抱著貨好不怕沒銷路的想法，小K開始自己賣軟件，不過幾個月過去，軟件的用戶量卻始終漲不上去，而且一邊要推銷軟件，一邊還要操心軟件的更新和維護，這讓小K感到十分疲憊，最終，小K不得不選擇妥協，開始與小C合作。

　　從 2014 年做針對幾家手機公司官網的軟件，到 2015 年開發針對電商平臺的軟件，兩人一搭檔就是幾年，在與小C合作的兩年時間里，小K每年差不多能賺到兩百多萬，這與圈內多數收入不過幾十萬的軟件作者相比，算是十分可觀。

　　在黃牛圈，軟件能賣出怎樣的價碼，與軟件的好用程度其實沒有太大關系，代理的包裝和推廣能力才是決定軟件銷量的關鍵。雇傭水軍在各個貼吧、論壇、黃牛 QQ 群里“安利”自家軟件、吐槽競品，是小C的慣用手段。

　　阿樂是一年前開始使用小K家軟件的，作為一名職業黃牛，小米手機是他做黃牛生意的起點，一部手機一轉手就 300 塊到手，這錢太好賺了。

　　在 2015 年之前，阿樂都采取的是手動搶購，后來他發現了黃牛軟件這個神器，隨即從人肉轉向機器搶購，不過黑灰產軟件的生命周期都很短，所以他需要不斷去發掘新軟件。

　　從一年 700 塊到一年 2500 的軟件阿樂都用過，這些錢對他來說并不算太大的投入，一臺華為保時捷官方售九千，搶到一轉手就是兩萬，一下就回本了。

　　不過他也在買軟件上花過不少冤枉錢，很多賣得很貴的軟件拿到手卻發現并不好用，還有一些代理會把已經不能用的軟件拿出來充數，魚龍混雜之下，要想找到一款好軟件并不容易。

　　而且隨著用黃牛軟件的人越來越多，軟件間的競爭也日益激烈，不斷被黃牛流量擠垮服務器的電商平臺們也開始注意到了這部分群體，從 2016 年開始，小K的軟件每次升級更新都會在很短時間內被封殺，明明測試的時候可以用，但一發布到用戶手里就不能用了。

　　圈子內其他的軟件也都遭遇了類似的情況，能用的軟件越來越少，這迫使很多黃牛黨在這兩年不得不回歸人肉搶購的老路，也就是雇傭一些大學生或無業人員，在微信或 QQ 群向他們發布搶購任務，然后統一寄到固定的地址。

　　不過這種模式終究效率太低，不是長久之計，每個人都急于想知道，何時會有一款新軟件出現，一款比小K家更好用的軟件。

　　黃牛危機

　　2016 年 4 月，發生了一起讓整個阿里巴巴安全部都印象深刻的危機，大量機器流量的進入占領了大部分通道，讓淘寶系統一度崩潰，正常用戶幾乎下不了單，而這樣的交易系統的故障在短短一個月內發生了四次，這在阿里內部算是非常高級別的安全故障了。

　　而這些故障背后的原因，是多個黃牛團隊為爭搶商品，在相互競爭中不斷添置大量的服務器，導致系統不堪重負。這起事件的爆發，讓黃牛問題真正走入阿里安全部的視野，也讓整個安全部開始反思自身存在的問題。

　　硯墨，是參與排查解決這次事件的主要成員，對于 2016 年的這起危機，他的思考是，對手比他們更了解平臺的業務系統，比如在平臺上有什么優惠、安全部的人都不知道，外面黃牛卻已經知道了。黃牛每天有專人在盯著平臺業務上的變化并嘗試去破解平臺上的協議，但安全部對于外部的這些對手卻了解甚少。

　　于是，在這起事件之后，整個安全部從各個團隊中抽調出了二三十個精兵強將，組成了一個專門打擊黃牛的的項目組——3417 項目室。

　　這個項目組的任務主要有三個，第一要務就是“止血”，也就是在大規模黃牛的攻擊之下，先保證交易系統的正常運行；第二就是與業務部門一起，把整個平臺的交易系統全部重新梳理一遍，對殘留的風險進行評估；第三是在前兩者的基礎上，去改進平臺的安全產品，構建一個完整的縱深防御線。

　　這場工程浩大的治理花費了近半年的時間，其中大部分的時間都花在了“止血”和“考古”。

　　淘寶創立至今已經有二十多年，整個交易系統已經建立了很長時間，而很多歷史久遠的交易系統就成了年久失修的安全盲區。

　　“原來寫這個交易系統的人可能已經離職了，原來做交易系統安全的人可能也走了，所以我們 2016 年去接手的時候，做的第一件事就是‘考古’，挖掘出我們的交易系統到底是怎么運作的，有可能從哪些途徑去下單。”硯墨這樣向鈦媒體解釋道。

　　在很多人眼里一個簡單的下單動作，其實背后要經過很多個環節，這個環節在不同年份所走的路徑都是不一樣的，中間所經過的保護層也不相同，而年代越越往前的版本，防護手段越弱，被破解的可能性也越大。有些防御較弱的路徑，黃牛甚至可以做到繞開淘寶 APP，一個腳本敲下回車就能直接與交易系統互動，而這意味著黃牛可以用比正常用戶更快更精準的方式去下單。

　　所以要構建防線，第一要務就是知道到底有多少條路徑能夠通向平臺的交易系統。

　　如今的阿里可以說是家大業大，整個阿里系的業務涵蓋了電商、物流、大文娛等多個領域，而每個大的業務板塊底下又有多個垂直業務線，3417 項目室在對龐雜交錯的業務線做了一番梳理后發現，整個交易系統上游居然大概有幾十個可以下單的路徑，而其中有很多路徑幾乎處于 “裸奔”狀態。

　　之后的半年時間里，整個安全部都處于一個很被動的狀態，面對外部強大的對手，除了“止血”，手里能打的牌并不多，于是，部門內部決定，要重新構建一套新的安全系統。不過這個時候已經是 2016 年的 9 月，新的安全系統已經來不及上線，一年一度的雙 11 大戰已經迫在眉睫。

　　為了保障雙 11 的正常進行，安全部技術、業務團隊在 9 月底組成聯席會議，共同研究應對機器下單行為的應對策略。在新系統還沒到位的情況下，當時只能先用手頭現有的防線去整合一個相對有效的部署，來熬過這一年的雙 11。

　　平臺的三道防御線

　　在 2016 年雙 11 之后，阿里安全部正式立項，開始著手做新的系統，整個時間持續了近半年，在 2017 年的 5 月，新系統的第一個版本發布，被直接部署在了阿里巴巴集團業務的最前端。

　　這套系統的主要的使命是，對異常流量進行清洗處置。比如，系統會校驗某個訂單的協議是不是被偽造了、是不是從一個真實的設備發射出來的、是不是來自真實用戶的瀏覽器等等。而這套新的系統，無論是設計邏輯還是架構，都與以前的版本完全不同，這使得它在應對攻擊時的靈活性和防護效果都有較大的提升。

　　比如說，以往黑灰產用一個新的手法來發起攻擊，平臺要去防御它，需要走一個很長的流程，從被攻擊到防御功能上線需要幾周的時間，而在這段時間內平臺能做的只有“止血”。

　　但新的系統上線后，對于一個新的攻擊手法，系統基本做到很快發現，并給出快速響應對策，接著采取一個新的手段上線攔截。

　　性能提升的原因主要有兩點：首先新系統整條鏈路上的所有的點都是可以靈活設置的；其次它結合了大量的機器學習，可以做到分鐘級的變化線上的攔截模型，從而自動根據線上的情況做出調整。

　　比如黃牛在發起一個新的攻擊后，系統會在一分鐘內做出反應，去構造出一個能夠攔截這種攻擊的模型，然后推送到線上去，如果線上業務形態出現了變化，出現誤攔截，系統也會做自適應的調整，盡可能減少對用戶的打擾。

　　不過光有流量端的攔截還遠遠不夠，因為這套系統是攔截不到上文提到的人肉黃牛的。尤其是隨著平臺對黃牛軟件技術防控的加強，很多靠機器搶購的黃牛又重回原始的“人肉”搶購方式。

　　梁樟所在的團隊，就是應對這部分問題的，他們會從業務層面對用戶行為、設備、收貨、賬號、地址等的合法性進行一些校驗，校驗成功后才會生成一個訂單。

　　2018 年 6 月，阿里也為應對黃牛問題上線了一款“反黃牛”軟件，這款軟件主要是面向商家端，通過這款軟件，商家可以對需要防護的商品進行自行設置。

　　每年梁樟都會帶領團隊對商家進行走訪，這兩年他們發現，黃牛已經成為他們最大的痛點，線上線下串貨的現象讓品牌和經銷商都感到十分苦惱。

　　在串貨之外，還有更大的危機潛藏其中，“今天如果我的銷售都來自于黃牛，沒有真實的用戶，萬一某一天當我的貨不再稀缺的時候，我的店會瞬間崩盤。”一家澳洲奶粉品牌曾向鈦媒體這樣表示他們的擔憂。

　　要想真正消滅對手，除了被動的防，還要主動的攻，而先決條件是——足夠了解對手，于是，在部署各種防御策略的同時，安全部還著力搭建了一套完整的安全風控體系。

　　塵安所在的項目組中，有的人專門負責研究網絡黑灰產及其軟件，比如，他們會分析一款軟件是怎么寫的，是利用了平臺的哪些下單入口，是破解了 APP 還是破解了網站的交易協議；還有人是專門研究黃牛的整個供應鏈的，包括軟件是怎么交付到黃牛手中的，如何被黃牛利用的，商品是如何發貨、賣掉，資金又怎么回籠的。

　　據塵安向鈦媒體介紹，截止目前，阿里安全部已經聯合執法機關打掉了近十款針對阿里平臺的頭部黃牛軟件，這些軟件涉及的交易流量可以占到全部黃牛軟件的 80％。

　　在雙 11 前的幾天，所有的安全布防已全部就位，但每個人的心里依然忐忑，每個人都盼望今年的雙 11 能安然度過，硯墨所在的團隊從雙 11 的前一天開始就要在總指揮中心“光明頂”值班，隨時應對突發危機，而梁樟所在團隊則要在雙 11 這一天奔走于好幾個場，零點開賣、一點預售付尾款、九點線下店開門⋯⋯

　　大概就如梁樟所說，攻和防的本質在于提高對手的犯罪成本，而并不能將風險完全扼殺，因為很多的潛在風險都來自于未知。

　　“就像今年更新的 IPv6 協議，它對于業務部門是巨大的機會，但對安全部門卻是難以預測的挑戰，原來是一條十米長的小道，在這條路上我可以布置很多坎，但現在它變成了一條一萬公里，甚至看不到盡頭的路，我該怎么設防？所以我沒法完全自信的說，我已經掌握了全局。”