萬萬沒想到，我的「五一」特價機票是從爬蟲手裡買的

4 月 26 日，周五，宜出行，忌上班。

有些人的「五一」假期來得比法定放假早，比如雷鋒網編輯。。。隔壁的媒體同行，他居然告訴我，自己已經無心上班，思想比身體先一步開啟了假期模式。

然後他掏出手機，炫耀了一把搶到的特價機票。

噢，你要說到特價機票，那就是戳到我的業務點了，讓網路安全科普作者小李分析一下特價機票可能是怎麼來的吧！

一個很大的可能性是，你是從爬蟲二道販子手裡買的！

國務院辦公廳發布「關於調整2019年五一勞動節假期」的通知幾十分鐘後，各個航空公司的 B2C 網站和旅遊網站的機票查詢量暴增，其中國際航班增長了 10 倍。在暴增的機票查詢數據背後，有普大喜奔的人民群眾，更有非法代理人操控的惡意「爬蟲」。

原來，部分航空服務代理人通過「爬蟲」非法抓取航空公司 B2C 網站或官方 App 等平台上的機票信息，然後非法倒賣給他人以牟取利益。

為了搞清楚這個惡意爬蟲是怎麼爬取特價機票信息，再化身二道販子牟利，編輯特意請教了有反爬蟲實戰經驗的頂象公司，據說，最近他們協助警察蜀黍端掉了一起爬蟲案，這個涉案的山東某機構專門爬取各大航空公司票務數據倒賣給其他中小代理人（該機構的業務已被關停）。

他們是怎麼開啟神（違法）操作的？

部分代理人利用「爬蟲」爬取下票務信息後，再利用虛假的身份信息預訂機票，但不付款。然後，在航空公司允許的訂票賬期內，他們把這些機票轉售給真正需要購票的用戶。

在轉售之前，這就導致部分機票並未售出，但是用戶在航空公司查看時卻顯示已售罄，該行為稱之為「虛假佔座」。

惡意爬蟲「長什麼樣」

怎麼判斷「佔座」的不是普通用戶而是爬蟲黨呢？

惡意「爬蟲」有這麼幾個特徵：

1、訪問的目標網頁比較集中：「爬蟲」代理人目標明確，主要是爬取班次、價格、數量等核心信息，因此只瀏覽訪問幾個固定頁面，不訪問其他頁面。

2、查詢訂票等行為很有規律：由於「爬蟲」是程序化操作，按照預先設定的流程進行訪問等，因此呈現出毫無思維、但很有規律、有節奏且持續的行為。

3、同一設備上有規模化的訪問和操作：「爬蟲」的目的是最短時間內抓取最多信息，因此同一設備會有大量離散的行為，包括訪問、瀏覽、查詢等。

4、訪問來源IP地址異常：正常情況下用戶在查詢、購買時，用戶的 IP 地址比較穩定，如果是「爬蟲」「虛假佔座」，IP 來源地址呈現不同維度上的聚集，而瀏覽、查詢、購票等操作時不停變化 IP 地址。

5、設置UA模擬瀏覽器和頻繁使用代理 IP ：很多「爬蟲」程序偽裝成瀏覽器進行訪問，比如在程序頭或者UA中默認含有類似python-requests/2.18.4等固定字元串；並且通過購買或者租用的雲服務、改造路由器、租用IP代理、頻繁變更代理 IP 等進行訪問。

6、操作多集中非業務時間段：「爬蟲」程序運行時間多集中在無人值守階段。此時系統監控會放鬆，而且平台的帶寬等資源佔用少，爬蟲密集的批量爬取不會對帶寬、介面造成影響。以下是頂象反欺詐中心監測到，凌晨1-5點是惡意「爬蟲」的運行高峰時段。

「虛假佔座」看上去只是讓薅羊毛的正常用戶買不上機票而已，對航空公司有什麼影響嗎？（賣給誰不是賣？）

當然有！

大家想一想，首先，惡意「爬蟲」的虛假身份信息是從哪裡來的，這裡是不是有用戶信息的泄漏？

第二，這種虛假佔座浪費了航空公司帶寬資源，白白消耗航空查詢費用，擾亂了航空公司的正常運營。

第三，更關鍵的是，由此帶來訂票量的波動導致航空公司收益管理系統演算法產生誤判，給出不符合實際情況的運價調整，損傷了用戶權益以及平台的口碑。

也就是說，從爬蟲二道販子手裡買到特價機票一時爽，長期下來還是普通用戶買了單。

雷鋒網註：該文核心觀點及分析來源於微信公眾號「頂象業務安全」，作者：小象，雷鋒網經授權轉載及改編。指路原文：《你購買的「五一」機票 可能是「二手」轉售》。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！