类似创造101的投票系统是如何防刷票的?

  • 回答 (6)
  • 关注 (0)
  • 查看 (1212)

现在创造101很火,周围的人都想给自己喜欢的小姐姐投票,但也有些粉丝觉得XXX票数不可能那么高,肯定是刷票了。

我想问下,类似创造101这样的投票系统,面对恶意刷票是怎么做到,怎么从技术上防止恶意刷票?

bsrt123bsrt123提问于
守望者回答于

简单的安全限制:

限制帐号次数

限制IP访问频率

验证码

iDavid丶

语诺科技 · 产品经理 (已认证)

一朝年华,一夕梦想!回答于

可以用下腾讯云的活动防刷业务来解决

阳呀呀回答于

以下是试验过或者网上找到的防止刷票方法:

1. IP限制

这是使用的最多,也是最广泛,不可少的刷票限制。而且由于专题都没有用户模块,使得这个方法,几乎成了唯一可行的手段。该方式,通过获取访问游客的IP地址,来限制其在一段时间内所能使用的票数。当然,正常访问页面投票的游客,肯定都能很好的被这个手段所限制,但是,各种投票的活动和专题,以及丰厚的奖品,使得一些人想方设法的想要进行刷票。

  • ADSL用户,可以通过断线重拨来更换IP地址。
  • 使用代理访问的用户,我们也无法获得其真实的IP地址。
  • 还有我们未知的刷票工具。

以上都是我们没有办法克服的难题,而且对于网吧/内网用户来说,这样的设置也会显得不够公平。

2. Cookies 验证

这也是网上所用到较多的手段,不过,所有来自于客户端的信息和内容都是不可靠的。熟知cookies原理的人,就可以很容易的绕过限制。

  • cookies 可以禁用。
  • 使用代理访问的用户,我们也无法获得其真实的IP地址。
  • Cookies可以随意清除、修改。

3. Session 验证

session会给所有访问的游客,指定一个唯一的sessionID。这样,似乎对于防止刷票有一些作用。可惜session有致命的缺点。

  • 关闭浏览器,session就会被销毁。
  • 客户端禁用cookies,session也会失效。

4. 验证码

注册,登陆,回复,发帖……验证码使用的范围很广,很多。可惜,至于具体效果呢,长久下来,只发现这样的方式,其实只是加大了普通游客的投票难度,而且刷票频繁的访问验证码,也大大加大了服务器负担。

有一种验证码是可行的,google推出的图形验证码,旨在让用户将图片翻转至正确的方向,方可完成验证。想必很少有软件或者电脑操作可以很好的绕过这样的验证码。不过,缺点呢,实现难度很高。

5. MAC地址限制

作为web程序,很难获取真实的Mac地址(我用php/js实验过,并没有成功的获取到Mac地址)。当我们读取客户端Mac地址时,读取的也是存储于注册表的一个信息,它也是可以进行修改的。

6. 用户模块

这应该算很有用的方式。每个游客,必须注册了账户才能进行投票,通过限制账户ID来限制投票,并且可以限制初始注册用户,一段时间内不能参与投票。而且,真有大量的注册用户涌入,也可以增加网站的流量。可是,对于小地区网站来说,这样会让网友觉得很麻烦,可能放弃投票,从而可能流失网站的用户。

7. 行为记录

其实,很多刷票行为我们是没办法进行限制的。可是有时候,我们却可以很好的记录下来。而且当检测到非正常投票的时候,自动提出票数,要么返回投票成功的假象,也可以很好的限制刷票。

缺点就是,记录过多的数据,会让服务器压力很大。而且,如果记录行为的记录点不够多,不够复杂,也可能被刷票的专业户所参透。

8. 回答问题

第一次使用这个方式限制刷票的时候,我们很欣慰的看到了不错的效果。可惜,如果没有足够海量的题库,很快问题的内容和答案就会被收集。反而让正常投票的用户,觉得投票很恶心、麻烦,产生厌恶心理。渐渐的也被我们抛弃了。

9. 随机投票地址

该方法, 让每一个访问页面的用户得到一个随机唯一的KEY,通过这个KEY,生成一个投票地址,该地址只能访问一次,使用过后便作废。

可惜,指定的KEY的内容,我目前是采用的sessionid+ip+随机数 生成的MD5码,而sessionid和ip在上面的内容都提到,是可以销毁和篡改的。这样的方式,也不过是在ip限制和session限制无效时候的垂死挣扎。

10. 填写信息

投票时,让游客填写身份证,姓名,手机号码等可以表示一个人身份的信息,来进行唯一性验证。不过,身份证你知道格式,姓名随便填,手机号码随便填写,也是没办法限制的。反而让正常投票的人觉得麻烦。

11. 投票码/排号系统

投票前,用户都需要在其他页面/邮箱先获取到一个唯一投票的编码/卷,使用一次作废。不过,如何验证‘人’的唯一呢,如果有用户,他的邮箱足够多,是不是就可以无限获取投票码呢。

对!所以,这也只是治标不治本的方法了。不过,至少,这个方式也会让刷票的人觉得很麻烦。但是同时,也会让正常投票的人觉得不方便。不过,能够让刷票党,刷得不是那么痛快,也算是有用了。

荒烟依旧平楚回答于

1.基于验证码

  多种验证码(图片验证码/中文变形验证码/语音验证码/手机短信验证码/图片拼接验证码/邮箱验证码,防止机器刷票),这样可以一定程度上防止刷票行为。

  但是这样虽然可能会阻止一些机器刷票行为,但是还是很难限制人为的一些刷票。

2.基于session

  一个用户一个会话当中,只能投票一次,这样就可以简单的作为防止刷票的行为。

  但是稍微了解网络的人就会明白,重新打开浏览器就会有不同的session,这样就很容易被渺视了。

3.基于cookies

  在一个用户投票之后,可以给用户计算机写入cookies文件,包括使用网页的flash写入cookies,这样再次投票时候,就会检测到Cookies的状态,防止用户刷票行为。

  但当用户删除掉cookies之后,就会遇到麻烦,还是不能够阻止。

4.基于IP

  防止一个IP同时投多次,这样在每次用户投票的时候,可以记录用户的IP地址,这样就可以IP+时间限制投票行为,防止刷票。

  但是现在的ADSL都是动态IP,而且IP地址有时候可以伪造,这样还是很难限制刷票。

笔者曾经做过一个项目,因为外网访问公司的web服务器是通过一台公司内部的代理服务器来访问的,联系了公司内部的IT人员,但最终在web服务器上还是根本不能获取到客户端的IP,这样无形中又增加了难度,根本很难根除刷票行为。

5.基于用户注册

  前面讲的都是匿名投票,可以让投票用户必须注册,再加上每个IP一定的时间内不能重复注册,这样就可以限制一些。

  但是同样,前面讲了,IP可以伪造,而且可以改变,所以说用户同样可以换马甲,还是不能根除。

6.可以基于一些网站的开放API来限制

  用户投票时,必须要有某些网站的账号,比如说新浪微博、人人等,这样就可以限制每人次投票的数量。

  但是这种方法比较麻烦,不是说开放API就一定能做到,而且本来注册用户就可以换马甲,到头来还是徒劳。

纪风夜影来,给我写个bug回答于

我个人认为比较简单易行的方法,还是通过用户来甄别,维护一个可信用户列表(大部分系统中用户活跃度都是符合长尾分布的,从中截取一段,能够反映多数用户意愿的用户为准。不过与活跃,也不是很少参与)。 对于单个话题,在已投票的人中,筛出可信的用户,从这群人中随机选取部分用户(80%,保证一定的随机性),来做排名。 不知道豆瓣电影评分是如何反刷票的。 当然,这只是一个方面,任何反作弊系统不可能只有只一个指标。

Nobody丶know回答于

强烈推荐用腾讯的防水墙方案。

由于作案成本低,批量进行,可复制性高,黑产链条成熟,单一业务难以独立进行有效防御,唯一的途径是通过各个业务联防联控,共同御敌,提高恶意门槛,降低收益,从而有效防御黑产刷量。

腾讯安全平台部长期与黑产对抗,通过整合公司内外的全方位业务数据,沉淀出多维度黑产数据知识图谱——安全大数据;同时,在威胁情报、网络流量分析、前端安全方面积淀丰富的对抗能力,由此推出了业务安全解决方案----防水墙。防水墙专注业务安全服务,运用AI及大数据分析等技术解决业务欺诈,薅羊毛,刷单,爬虫等自动机攻击问题。

防水墙通过腾讯云对外业务安全能力开放,为电商、新零售、出行、金融、文娱等各行业的公司提供服务,解决互联网+业务安全问题。

所属标签

可能回答问题的人

  • TCS-F

    19 粉丝33 提问3 回答
  • 幻影龙王

    腾云先锋 · 腾云先锋(TDP)成员 (已认证)

    52 粉丝8 提问3 回答
  • 齿轮aha

    腾讯 · 后台开发工程师 (已认证)

    9 粉丝10 提问1 回答
  • EatRice

    腾云先锋 · 腾云先锋(TDP)成员 (已认证)

    28 粉丝0 提问1 回答

扫码关注云+社区

领取腾讯云代金券