万万没想到，我的“五一”特价机票是从爬虫手里买的

4 月 26 日，周五，宜出行，忌上班。

有些人的“五一”假期来得比法定放假早，比如编辑。。。隔壁的媒体同行，他居然告诉我，自己已经无心上班，思想比身体先一步开启了假期模式。

然后他掏出手机，炫耀了一把抢到的特价机票。

噢，你要说到特价机票，那就是戳到我的业务点了，让网络安全科普作者小李分析一下特价机票可能是怎么来的吧！

一个很大的可能性是，你是从爬虫二道贩子手里买的！

爬虫占座

国务院办公厅发布“关于调整2019年五一劳动节假期”的通知几十分钟后，各个航空公司的 B2C 网站和旅游网站的机票查询量暴增，其中国际航班增长了 10 倍。在暴增的机票查询数据背后，有普大喜奔的人民群众，更有非法代理人操控的恶意“爬虫”。

原来，部分航空服务代理人通过“爬虫”非法抓取航空公司 B2C 网站或官方 App 等平台上的机票信息，然后非法倒卖给他人以牟取利益。

为了搞清楚这个恶意爬虫是怎么爬取特价机票信息，再化身二道贩子牟利，编辑特意请教了有反爬虫实战经验的顶象公司，据说，最近他们协助警察蜀黍端掉了一起爬虫案，这个涉案的山东某机构专门爬取各大航空公司票务数据倒卖给其他中小代理人（该机构的业务已被关停）。

他们是怎么开启神（违法）操作的？

部分代理人利用“爬虫”爬取下票务信息后，再利用虚假的身份信息预订机票，但不付款。然后，在航空公司允许的订票账期内，他们把这些机票转售给真正需要购票的用户。

在转售之前，这就导致部分机票并未售出，但是用户在航空公司查看时却显示已售罄，该行为称之为“虚假占座”。

恶意爬虫“长什么样”

怎么判断“占座”的不是普通用户而是爬虫党呢？

恶意“爬虫”有这么几个特征：

1、访问的目标网页比较集中：“爬虫”代理人目标明确，主要是爬取班次、价格、数量等核心信息，因此只浏览访问几个固定页面，不访问其他页面。

2、查询订票等行为很有规律：由于“爬虫”是程序化操作，按照预先设定的流程进行访问等，因此呈现出毫无思维、但很有规律、有节奏且持续的行为。

3、同一设备上有规模化的访问和操作：“爬虫”的目的是最短时间内抓取最多信息，因此同一设备会有大量离散的行为，包括访问、浏览、查询等。

4、访问来源IP地址异常：正常情况下用户在查询、购买时，用户的 IP 地址比较稳定，如果是“爬虫”“虚假占座”，IP 来源地址呈现不同维度上的聚集，而浏览、查询、购票等操作时不停变化 IP 地址。

5、设置UA模拟浏览器和频繁使用代理 IP ：很多“爬虫”程序伪装成浏览器进行访问，比如在程序头或者UA中默认含有类似python-requests/2.18.4等固定字符串；并且通过购买或者租用的云服务、改造路由器、租用IP代理、频繁变更代理 IP 等进行访问。

6、操作多集中非业务时间段：“爬虫”程序运行时间多集中在无人值守阶段。此时系统监控会放松，而且平台的带宽等资源占用少，爬虫密集的批量爬取不会对带宽、接口造成影响。以下是顶象反欺诈中心监测到，凌晨1-5点是恶意“爬虫”的运行高峰时段。

谁的利益受损

“虚假占座”看上去只是让薅羊毛的正常用户买不上机票而已，对航空公司有什么影响吗？（卖给谁不是卖？）

当然有！

大家想一想，首先，恶意“爬虫”的虚假身份信息是从哪里来的，这里是不是有用户信息的泄漏？

第二，这种虚假占座浪费了航空公司带宽资源，白白消耗航空查询费用，扰乱了航空公司的正常运营。

第三，更关键的是，由此带来订票量的波动导致航空公司收益管理系统算法产生误判，给出不符合实际情况的运价调整，损伤了用户权益以及平台的口碑。

也就是说，从爬虫二道贩子手里买到特价机票一时爽，长期下来还是普通用户买了单。

注：该文核心观点及分析来源于微信公众号“顶象业务安全”，作者：小象，宅客频道经授权转载及改编。指路原文：《你购买的“五一”机票 可能是“二手”转售》。

-----招聘好基友的分割线-----

招聘岗位：

网络安全编辑（采编岗）

工作内容：

主要负责报道国内外网络安全相关热点新闻、会议、论坛、公司动向等；

采访国内外网络安全研究人员，撰写原创报道，输出领域的深度观点；

针对不同发布渠道，策划不同类型选题；

参与打理宅客频道微信公众号等。

岗位要求：

对网络安全有兴趣，有相关知识储备或从业经历更佳；

科技媒体1-2年从业经验；

有独立采编和撰写原创报道的能力；

加分项：网感好，擅长新媒体写作、90后、英语好、自带段子手属性……

你将获得的是：

与国内外网络安全领域顶尖安全大牛聊人生的机会；

国内出差可能不新鲜了，我们还可以硅谷轮岗、国外出差（+顺便玩耍）；

你将体验各种前沿黑科技，掌握一手行业新闻、大小公司动向，甚至是黑客大大们的独家秘闻；

老司机编辑手把手带；

以及与你的能力相匹配的薪水。

坐标北京，简历投递至：liqin@leiphone.com

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注