当机器人攻击时！

Question

除了验证码之外，还有哪些流行的垃圾邮件预防方法？

Answer 1

我尝试过做“蜜罐”，你放置一个字段，然后用 CSS 隐藏它（对于禁用样式表的任何人将其标记为“留空”），但我发现很多机器人能够很快通过它。 还有一些技术，例如将字段设置为特定值并使用 JS 更改它们、计算加载时间和提交时间之间的时间、检查引用 URL 以及其他一百万种技术。 它们都有自己的陷阱，你所能希望的就是尽可能多地过滤它们，同时又不疏远你在这里的目的：用户。

不过，归根结底，如果您真的、真的不希望机器人通过您的表单发送内容，您将需要在其上添加验证码 - 这是我见过的最好的验证码大多数情况下，一切都是 reCAPTCHA - 但由于印度的验证码解决市场以及各地垃圾邮件发送者的独创性，这些垃圾邮件发送者并不总是成功。 我会小心使用一些“巧妙”但有点“外面”的东西，因为对于至少在某种程度上习惯了常用验证码的用户来说，它更像是“wtf”。

Answer 2

令人震惊，但这里几乎每个回复都包含某种形式的验证码。 OP想要一些不同的东西，我想也许他想要一些真正有效的东西，甚至可能解决真正的问题。
验证码不起作用，即使它起作用 - 这是错误的问题 - 人类仍然可以淹没你的系统，并且根据定义，验证码不会阻止这种情况（因为它的设计只是为了告诉你是否是一个人类与否 - 并不是说​​它做得那么好......）

那么，还有哪些其他解决方案？？ 嗯，这取决于...您的系统和您的需求。
例如，如果您想要做的只是限制用户可以填写“联系我”表单的次数，您可以简单地限制每个用户每小时/每天/任何时间可以提交的请求数量。 如果您的用户是匿名的，也许您需要根据 IP 地址进行限制，并偶尔将 IP 列入黑名单（尽管这也可以被规避，并导致其他问题）。
如果您指的是论坛或博客评论（例如此评论），那么我使用它的次数越多，我就越喜欢该解决方案。 经过身份验证的用户、授权（基于声誉，不太可能通过洪水累积）、限制（一天可以执行多少次）、偶尔的验证码以及最后的社区审核以清理少数通过的用户之间的混合 - 所有这些都结合在一起提供一个像样的解决方案。 （我想知道 Jeff 是否可以提供一些关于实际通过了多少垃圾邮件和其他恶意帖子的信息...？）

另一个需要考虑的控制措施（不知道他们是否有）是某种形式的 IDS/IPS - 如果您可以检测到并识别垃圾邮件，您可以阻止该模式。 此处的审核可以手动满足这一需求...

请注意，其中任何一项都不能防止垃圾邮件，但会逐渐降低概率，从而降低盈利能力。 这改变了经济方程式，并使验证码实际上提供了足够的价值——因为对于垃圾邮件发送者来说，不再值得费心破坏或绕过它（感谢其他控件）。

Answer 3

让用户能够计算：

3 和 8 的和是多少？

顺便说一句：刚刚浏览了微软研究院的一个有趣的方法：Asirra。

http://research.microsoft.com/asirra/

它向您显示了几张图片，您必须识别具有给定主题的图片。

Answer 4

从可用性的角度来看，尝试 Akismet

验证码或任何形式的仅限人类的问题都是可怕的。 有时它们是必要的，但我更喜欢使用 Akismet 等过滤器来消除垃圾邮件。

Akismet 最初是为了阻止 WordPress 博客上的垃圾评论而构建的，但该 API 可以适应其他用途。

更新：我们已经开始使用 ruby​​ 库 Rakismet在我们的 Rails 应用程序上，Yarp.com。 到目前为止，它在阻止垃圾邮件机器人方面效果很好。

Answer 5

一种不会给用户带来任何负担的非常简单的方法就是在页面加载后禁用提交按钮一秒钟。 我在一个公共论坛上使用了它，那里有连续的垃圾邮件帖子，从那以后它就阻止了它们。

Answer 6

Ned Batchelder 编写了一种技术，将哈希值与蜜罐结合起来，以实现一些极其有效的机器人预防。 没有验证码，只有代码。

它位于使用哈希值和蜜罐阻止垃圾邮件机器人：

我们可以通过让人们难以成功发布帖子或让他们无意中将自己标识为机器人来阻止机器人，而不是通过让人们表明自己的身份来阻止机器人。 这减轻了人们的负担，并使评论表单没有明显的反垃圾邮件措施。

这种技术是我防止该网站上的垃圾邮件机器人的方法。 有用。 这里描述的方法根本不看内容。 它可以通过基于内容的预防（例如 Akismet）进行增强，但我发现它本身就非常有效。

Answer 7

http://chongqed.org/ 维护活动垃圾邮件源和垃圾邮件中宣传的 URL 的黑名单。 我发现在论坛中过滤后者的帖子非常有效。

Answer 8

我观察到的最常见的问题是围绕用户输入来解决简单的难题，例如下面是一张猫的图片。 （显示狗围绕猫的缩略图）。 或者简单的数学问题。

虽然很有趣，但我确信军备竞赛也会压垮这些系统。

Answer 9

您可以使用 Recaptcha 至少使验证码变得有用。 然后你可以用简单的数学问题或类似的问题来提问。 Microsoft 的 Asirra 可让您找到猫和狗的照片。 需要有效的电子邮件地址来激活帐户可以阻止垃圾邮件发送者，因为他们无法从该服务中获得足够的好处，但也可能会阻止普通用户。

Answer 10

以下内容对于今天的技术来说是不可行的，但我认为这并不是太遥远。 对于处理论坛垃圾邮件来说，它也可能有点过分，但对于帐户注册或任何您想要真正确定您正在与人类打交道的情况可能很有用，并且他们会准备好花费几分钟来完成过程。

让 2 个用户试图通过网络摄像头证明自己与彼此有人类联系，并询问他们所看到的人是否是人类并且是活人（即不是录音），例如让他们镜像彼此的动作，或者在一张纸上写一些东西。 让每个人与不同的用户一起这样做几次，并将一些录音放入混音中，他们也必须正确识别这些录音。

Answer 11

论坛上流行的方法是简单地将帖子少于 10 个的成员的帖子放入审核队列中。 当然，如果您没有版主，或者这不是论坛，这并没有什么帮助。 更通用的方法是计算超链接与文本的比率。 通常，垃圾邮件帖子包含大量超链接，您可以通过这种方式捕获很多内容。 同样，比较连续帖子的内容。 根本不允许出现极其相似的连续帖子。

当然，任何了解您所采取措施的人都能够绕过它们。 老实说，如果您是特定攻击的目标，您无能为力。 相反，您应该专注于防止更普遍的、不熟练的攻击。

Answer 12

对于人类版主来说，如果机器人足够聪明，可以使用注册帐户，那么能够轻松查找和删除某个 IP 的所有帖子或某个用户​​的所有帖子肯定会有所帮助。 同样，无需进一步管理即可轻松阻止 IP 地址或帐户一段时间的选项将减轻人工审核员的管理负担。

使用cookie让机器人和人类垃圾邮件发送者相信他们的帖子实际上是可见的（虽然只有他们自己看到），从而阻止他们（或巨魔）改变技术。 让垃圾邮件发送者和巨魔看到其他垃圾邮件和巨魔消息。

Answer 13

像这样的Javascript评估技术Invisible Captcha系统要求浏览器评估Javascript在页面提交被接受之前。 当用户没有通过仅显示传统的验证码测试来启用 Javascript 时，它会很好地回退。

Answer 14

动画验证码（滚动文本）仍然很容易被人类识别，但如果您确保没有一个框架提供完整的识别内容。

选择题 - 只需一个______和一个微笑。 这里的想法是用户必须选择/理解。

会话变量 - 检查放入会话中的变量是否是请求的一部分。 将挫败仅生成请求的愚蠢机器人，但可能不会挫败像浏览器一样建模的机器人。

数学问题 - 2 + 5 = - 这又是提出一个易于解决但阻止机器人生成响应的问题。

图像网格 - 您创建图像网格 - 选择 1 或 2 个特定类型，例如 3x3 动物网格图片，您必须选出网格上的所有鸟类。

希望这能为您的新解决方案提供一些想法。

Answer 15

朋友有一个最简单的反垃圾邮件方法，而且很有效。

他有一个自定义文本框，上面写着“请输入数字 4”。

他的博客相当受欢迎，但仍然不够受欢迎，以至于机器人无法弄清楚（还）。

Answer 16

请记住让那些不使用传统浏览器的人可以访问您的解决方案。 iPhone人群不容忽视，那些有视力和认知问题的人群也不应被排除在外。

Answer 17

蜜罐是一种有效的方法。 Phil Haack 给出了一种好的蜜罐方法，可以使用原则上适用于任何论坛/博客/等。

您还可以编写一个爬虫程序来跟踪垃圾链接并分析其页面以查看其是否是真实链接。 最明显的是包含内容的精确副本的页面，但您可以选择其他指标。

审核和黑名单，尤其是像这样的插件 WordPress（或者您正在使用的任何软件，大多数平台都提供类似的软件），将在低容量环境中工作。 如果您的环境容量较小，请不要低估这给您带来的优势。 如果您有时间的话，亲自决定什么是合理的内容，什么是不合理的内容，可以让您在垃圾邮件控制方面拥有最大的灵活性。

不要忘记，正如其他人指出的那样，验证码不仅限于图像中的文本识别。 视觉联想、数学问题和其他通过图像传达的非主观问题也符合条件。

Answer 18

Sblam 是一个有趣的项目。

Answer 19

不可见的表单字段。 创建一个不向用户显示在屏幕上的表单字段。 使用 display: none 作为 css 样式，这样它就不会显示。 为了可访问性，您甚至可以放置隐藏文本，以便使用屏幕阅读器的人知道不要填写它。机器人几乎总是填写所有字段，因此您可以阻止任何填写不可见字段的帖子。

Answer 20

根据垃圾邮件发送者 IP 地址黑名单阻止访问。

Answer 21

蜜罐技术在页面顶部放置了一个看不见的诱饵表单。 用户看不到它并提交正确的表单，机器人提交错误的表单，该表单不执行任何操作或禁止其 IP。

Answer 22

我看到了一些类似于 Asira 的巧妙想法，它们要求您识别哪些图片是猫。 我相信这个想法源自 KittenAuth 不久前..

Answer 23

使用 Google 图片标签 之类的工具以及适当选择的图片，这样计算机就无法认识到人类能够识别的主要特征。

用户将看到一张图像，并且必须输入与其相关的单词。 他们会不断地看到图像，直到他们输入了足够多的单词，这些单词与之前用户为同一图像输入的内容一致。 有些图像可能是新图像，并未对其进行测试，但包含在内是为了记录与它们相关的单词。 根据您的受众，您也可以选择只有他们能识别的图像。

Answer 24

Mollom 据称擅长阻止垃圾邮件。 提供个人（免费）和专业版本。

Answer 25

我知道有些人提到了 ASIRRA，但如果你转到所有图像的收养我链接，它会在该链接页面上显示它是猫还是狗。 因此，对于机器人来说，访问所有采用我的链接应该相对容易。 所以该项目的实施只是时间问题。

Answer 26

只需验证电子邮件地址并让谷歌/雅虎等担心它

Answer 27

您可以获得一些设备 ID 软件 the41 有一些欺诈预防软件，可以检测用于访问您网站的硬件。 我相信他们用它来抓捕欺诈者，但也可以用来阻止机器人。 一旦您确定了机器人正在使用的设备，您就可以阻止该设备。 上次检查时，它甚至可以通过电话网络跟踪您的路线（不是您的地理 IP！），因此如果您愿意，甚至可以阻止邮政编码。

通过如此支撑，它的价格昂贵。 一个更好更便宜的解决方案，但有点不那么大哥。