安全保卫战——家乐福618安全与性能之战(28)_：安全保卫战——家乐福618安全与性能

只是单单的WAF，CC防御根本无法对抗薅羊毛，必须我们把焦点关注在用户的手机号上；手机号它其实是有“信用”的，和人的消费金融行为一样，它也有类似“蚂蚁征信”那种信用分。对于绝对的黑户手机那是肯定不让通过的，比如説一个黑户手机来领券直接你系统可以提示“亲，活动已经做好”，“亲，优惠券已经被领空”，“亲，我骗你你又准备咋地，谁让你是个黑户”，对于“白户”手机，那肯定是没有问题的。难的是对待那些个“灰80%”，“灰70%”，“50度灰”这种中间状态的手机，此时就需要业务逻辑的配合，比如説发觉一个“80度灰”手机本来我应该给他100元券的我现在给他5块钱的券，如果是一个“50度灰”那么我可以考虑折中点给他一个30块的券，这就是我们説的“减损”，这实际上是一种“对抗手段”；前文提过，我们碰到的是一个顶级黑产，它把“白户”手机放在机器里面然后用模拟器的速度来超过你真实用户抢券的速度，照样可以让你的网站里发的券被秒光，这就很难对付了，要知道当你碰到这种来访问你网站的手机号都是“白户”的时候那才是一场真正的战斗，于是我们会有一种手段，这种手段叫人机识别SDK。这种SDK它会埋入你的APP应用内，当用户打开这个APP时，它会自动识别，装有它的容器是一个真实的用户手机还是一个模拟器，它的原理如下：