有羊毛的地方,必有薅羊毛者。近日破站为了预热 98E 手办,推出了个抽奖活动,需要通过用户互赞达成抽奖条件,并且以先到先得,无限抽奖的方式清空奖池。
显然这种活动很容易被羊毛党攻击,可利用点有:
- 将养好羊毛号拿出来批量相互点赞
- 即将开始抽奖时,控制羊毛号批量无限抽奖
攻击者只需要写个简单脚本就能完成上述攻击,攻击成本低。这时候防御方则需要考虑如何用尽量低的成本进行防护,而且若稍有不慎,服务还可能被攻击者打挂,下面将从四个方面介绍攻防对抗手段:
- 增加参与门槛
- 应用层的防御
- 业务风险控制模型
- 切断利益链