——报告经理，有一个好消息和一个坏消息，你想先听哪一个？
——这么刺激，好消息吧。
——我们这个季度的促销活动带来了500万新客，超额完成全年目标！
——坏消息呢？
——只有1万是正常用户。
”
这个平台的促销活动要获得奖励十分简单：只要新用户通过手机号注册，就能获得一个价值30元的免费礼品，理想的情况下，一个正常用户一般只有1-2个手机号，只要注册过了就无法获得新人礼品，新用户在体验了产品之后，都会有一定的几率留存下来。

而在羊毛党手里，这个玩法就变了。

羊毛党，即指专门研究各互联网渠道的优惠促销活动，以相对较低成本甚至零成本换取物质上实惠的人群，这一行为也被称为“薅羊毛”。

羊毛党能够轻易地使用大量的手机号码来进行注册，获得了奖励之后再转卖出去赚取差价，单个注册获得的奖励虽少，但一旦注册量上升到了上千、上万级别，就是一笔可观的收入了。

只要活动一停，新注册的用户们就变成了僵尸，再也不会下单。

恶意羊毛党一直以来被认为是互联网企业的一大痼疾，羊毛党利用手头的资源（如黑卡）到各个平台注册新用户，平台的活动经费绝大部分落入羊毛党口袋中，真实用户获益无几，活动的效果大打折扣，甚至羊毛党的疯狂行径导致企业服务器被挤爆，真实用户无法使用服务，平台口碑和品牌影响力急剧下降。有的互联网企业因为没有做好业务风控，直接被羊毛党撸到倒闭。

这两天热议的某国际连锁咖啡巨头的圣诞活动，就可以记入羊毛党四处征战的编年史。

有羊的地方，就有羊毛党，从超市排队抢一分钱白菜的大妈，到手握千万小号的黑产大佬，羊毛党无处不在。

根据猎网统计数据显示，羊毛党黑产已形成15余工种、160余万从业人员、其“产业规模”不低于1152亿元人民币，黑产在向“隐蔽、产业链、专业、精准”的趋势发展。

“羊毛党是如何团队作战的？”
以电商优惠活动为例，我们来看一看羊毛党们是如何配合紧密，团队作战的。

Step1：准备阶段
薅羊毛需要有海量的账号，羊毛党们利用打码平台和卡商提供的海量手机号在平台批量注册账号，用于之后的营销活动中。同样地有另外一波人在实时关注着各大平台的优惠信息，寻找下一个可薅的猎物。

如果说手机黑卡是生产资料，那么批量注册工具就是羊毛社会的生产工具。

上述的注册账号，优惠信息的抓取，都是通过自动化的工具实现的，在行业术语中叫Bot（爬虫）。

待黑产上游人员完成账号的批量注册之后，便会在各种平台兜售账号以获利，将薅羊毛的重任交由给下一棒选手完成。
Step2：攻击阶段
海量的账号密码到达刷单团伙手里，同样可以通过爬虫工具实现优惠券的自动获取，秒杀产品的自动下单。
Step3：套现阶段
通过作弊手段获得的虚拟资产、实物奖品等，由黄牛在各个论坛物色买家，以低于市场价，高于羊毛价的形式出售，从而赚取价差。

在这个阶段也可以利用爬虫工具在综合信息平台批量发帖，长期霸屏，节省人力的同时增加曝光率。

在这一套流程中，有的人身兼数职，从头到尾都一手包办，有的人只在其中担任中间商或者掮客的角色，从而分一杯羹。

“传统防薅羊毛手段：走在用户体验和反爬虫的钢丝上”
大促之战一触即发，当零点的号角吹响，“爬虫”和普通用户同时涌进网站的大门，在自动化工具的高频操作和千兆带宽的双重夹击之下，普通用户很快败下阵来。

具体的表现就是：填完各种验证码，加载刷新了无数次之后，系统还崩溃了，最后啥也抢不到。

对于普通用户来说，如果电商的优惠券或者秒杀商品抢不到，对于购物欲望是极大的打击。

为了防薅羊毛，商家们不可谓不努力，从请求限速到祭出验证码，虽然过滤了一部分低级爬虫，普通用户也哀鸿遍野，伤敌一百，自损八千。

“在羊毛党面前，如何打赢这场人性的战争？”
与黑产的对抗，本质上就是不公平的，对黑产来说，此处无羊毛，爷去找别处，互联网之大，总有漏洞可钻。

而对于平台来说，低效、粗暴的反爬机制，带来的是真金白银的损失和用户体验的急剧下降。

在羊毛党面前，如何打赢这场人性的战争？网宿云安全的技术专家们，以他们多年来为各大平台保驾护航的攻防经验，为企业提供一些反爬虫的新思路。

并非所有爬虫，都是需要被限制的
爬虫有好有坏，恶意爬虫如恶意注册爬虫、非法登录爬虫、活动作弊爬虫，影响网站正常业务开展，善意爬虫如搜索引擎爬虫、网站流量监测和排名爬虫、网站在线监控服务爬虫、图片搜索引擎爬虫等，是有利于企业网站优化和推广的，需要区分对待。

不过有些善意爬虫，譬如某些搜索引擎爬虫，在爬取的时候过多地占用服务器资源，网站也可根据实际情况进行针对性的限制。

管理爬虫，而非单纯限制
爬虫有好有坏，也有时好时坏的，若单纯的采用同样的一套机制，限制爬虫的行为，会带来大量的误杀，影响网站SEO排名。

我们提出“爬虫管理”的概念，从大量流量中实时区分正常用户、善意爬虫、恶意爬虫，每一个大类还可以细分为多个小类，对不同的流量采用不同的应对措施，尽可能地做到在不影响正常业务开展的情况下，最大限度降低恶意爬虫带来的影响。

见招拆招，善于利用大数据及人工智能
反爬机制的核心，在于如何区分正常用户、善意爬虫和恶意爬虫。

传统的反爬机制通过IP限制、验证码、设备指纹等方式过滤羊毛党，但羊毛党有更高级的应对方式，通过代理修改IP、利用群控平台控制多个手机，修改手机的设备信息，通过打码平台批量识别验证码，传统手段构筑的防线都被一一绕过。此外，越来越多证据表明，黑灰产业已经在使用大数据和人工智能技术来绕过传统的反爬机制，这也是未来的发展趋势。

面对越来越智能的攻击者，企业也需要用大数据及人工智能来武装自己。

试想一下，如果我们能够拥有海量的攻击样本和善意爬虫信息，利用大数据分析技术，基于内置的评分机制对历史事件进行威胁分析，并且这样的情报库是实时、动态更新的，那么就能够掌握黑产的关键信息，发现黑产信息进行事前防御了。

网宿平台承载着中国互联网20%的Web流量，每天为全球网站抵御25亿+次攻击，也留下了大量宝贵的数据，基于这些数据，我们不断完善攻击信誉库，在攻防对抗中作为企业的一道坚实屏障。

除了修筑城墙之外，还需主动出击，基于对恶意爬虫行为的深刻理解和深度学习，我们可以精准识别出正常用户与恶意爬虫之间的微小差异，同时，还可以利用恶意爬虫的一些特性来布设陷阱，诱导爬虫进入。当然，这些规则都是在安全专家的干预下实时优化的，毕竟，黑产也在进步。

爬虫，只是一种工具，羊毛党们用它来薅羊毛，别有用心的黑客们，也能利用爬虫进行一些其他的恶意行为，比如恶意扫描服务器漏洞、通过自动化登录工具实施撞库、发动CC攻击等等……

恶意爬虫是万恶之源，有效管理恶意爬虫，安全防护将达到事半功倍的效果。