|
(以下内容是本人参考一些资料作出的结论,因水平有限,不对其有效性负责,只是一种探讨。)
近日论坛出现的垃圾贴,应当是“灌水机”所为。根据观察,此灌水机有如下特点:
1、能够自动变换IP
2、能够自动更换ID
3、能够自动识别验证码
4、能够自动更换帖子标题
5、部分手工操作
还有其他一些特征。综合判断,应当属智能型。
而论坛是开放型的,为降低应用难度,通常都并不设置过多的验证手续,以免引起用户的疲劳和反感,并且为了增加人性化的体验,添置一些智能管理手段。这些智能化于人是智能,但终究还是程序,是程序就总会被程序利用。因此,低门槛和智能化是论坛受攻击的原因。
论坛针对“灌水机”的方法应当从“灌水机”和论坛的主要特点出发。
根据青天剑的回帖中表述,本论坛通常做的就是封杀IP和ID。但显然,这对智能型的“灌水机”作用不大。又,论坛为防止新近的垃圾贴ID设置障碍,即邮箱确认。但当“灌水机”有意针对本论坛,某“灌水机”通过人工进行邮箱确认,只消一个号就可以灌上几百贴,显然不治本,至多减少相应垃圾ID,而不能减少垃圾贴,对恶意为之的小人,这种方法也不管用。
似乎这发垃圾的机器只是针对本网站,因此他可以把注册这一步人工化,但他采用“灌水机”是因为人工不可能发到这么多垃圾。因此,我们没办法针对人工这部分,只能针对机器自动的那部分。而在注重机器部分的同时,也必须考虑到:如果不加防范,会引起ID的海量增加。
我的建议是从以下几个方面入手。
1、首要需要变更的是验证码的代码。本论坛的验证码较容易识别。另外,不只是进行用户注册时的验证,还要增加发贴的验证。这样,给用户造成的麻烦是最小的。同时,增加“灌水机”灌水时的消耗。
2、增加用户主贴的发贴时间间隔。一来这根据实情,某用户不可能在极短的时间里多次发主贴,而又不影响灌水。因为灌水不是主贴。
3、用户注册验证时,可以增加一些智能型的代码。比如询问“网站站长是谁?”“音乐版块的版主是谁?”类似的答案,而答案并不写在当前页,而是通过按钮链接至另一页。有效避免机器识别代码。当然,这对那些半人工处理方式无效。另外,使用FLASH的用户确认,较网页型的用户确认显然要隐蔽得多。比如验证码可以用FLASH来做,或者做成动画GIF。
4、另外还有一点。我的判断,“灌水机”的灌水是并不打开网页的,而是通过地址附加参数送至服务器判断而注入垃圾的。因此可以考虑在参数中增加某些服务器特征,这些特征要不明显。
5、我不知道“灌水机”是否有针对某论坛程序版本的可能。如果有这个可能,那么,应当手动修改一下版本,即版本做假。
还有一些笨办法,比如用户首贴与次贴间隔一个小时,以后依次递减,五次之后取消间隔,或者用户须回帖10贴以上方可发贴。虽然会有一些影响,提高门槛,但比因垃圾贴失去用户要好。
以上仅为本人的判断,错误不当之处,请谅! |
|