主题:【讨论】回应对12306.cn网站的技术质疑 -- 忘情
家园 18亿是什么概念? 按铁路的预计,日均发送旅客600多万,最最糟糕的情况就是这600百多万人都上12306买票,其他渠道都不走,18亿意味着买一张票要刷两百多次。我看没有那个神经病会这样折腾自己来买票的吧。
家园 不是你这么算的 进入网站,一次访问量,填表提交定单,一次访问量。600多万人就至少1200万访问量了。
如果加上查询,就算每人两次好了,又至少是1200万。
这还算是日均。碰到春节,国庆这样的,需求量显然还会大很多,而人们抱怨的,就是这些时候。
家园 你忘了考虑用程序刷票的了 按照国内网游外挂发展的水平,这种刷票机很可能一秒钟刷一次。
我在别的论坛就看到有人说用外挂程序24小时刷票。
家园 稍微搜索了一下就发现了一个买票外挂 可以自动识别注册码,付费用户可以自动买票。
余票查询时那验证码和没有有多大区别,0到9都输入一遍肯定能通过
家园 这个验证登陆没这么简单吧 我是见过手机上有强刷1000次的功能,我当时就很好奇验证码的作用。
首先,验证码的识别肯定没你想象的简单,如果是大小写加数字,里面有4位数,那么你的组合是26+26+10的4次方,你要乱尝试的话得尝试一个巨大的次数才有可能吧,我相信没有人会去这样输入验证码。验证码如果用图形识别也是很复杂,肯定没有简单的解决方案。唯一的解释就是12306的验证码系统有问题,有些东西直接暴露了验证码,外挂一抓就往里面填了,或者是验证码不是每次登陆必填。
其次,如果是有人暴力重复登陆,为什么不记录下来把他踢掉?如果连这种基本的防护都没有,怎么能防止别人恶意攻击呢?
家园 这个没这么简单吧。 验证码肯定没有这么容易破解,如果是4位包含字母大小写的验证码,他的组合会是 26(大写)+26(小写)+10(数字)的4次方 种组合,没人会用这种办法去试验证码的吧?图形识别验证码肯定没有简单的解决方案。加上色彩,加上干扰的图形,识别率是很低的。
我自己是见过1000次强登陆的手机买票软件,我也很纳闷,怎么就能这样呢?验证码完全失效了吗?还是说不管结果,直接把请求抓下来,往12306发1000次?
家园 不是登录时的验证码 如果只有登录时用验证码,一般外挂是直接显示验证码图片,手动输入,我搜索到这个软件也是这么做的。
12306在余票查询界面用了另外一套验证码,不过太简单了,答案是0到9十种可能,输入错误又不会踢下线,完全可以暴力破解。
和一个正使用这个外挂的网友交流一下,这个外挂程序似乎还能绕过余票查询步骤直接进入买票排队。
去12306试试就知道了。。。
家园 说的都是小网站或理论上的问题 如果作者是铁道部的专家,那么我们就会彻底理解12306的诸多问题了,也会理解铁道部无力的辩解。
看看下面的回复吧,几乎没有一个是同意的,说明此文根本没说到点子上,就是一外行混充内行。
家园 整个儿订票系统的体系架构有问题 12306的数据量确实不小,但并非目前主流的商业电脑网络技术解决不了,主要问题还是出在体系和架构的不合理上。楼主此文说实话对于IT行外人士来说,貌似挺有道理,实际上就技术而言,根本说明不了什么,方向错了。
应对大数据,海量数据的办法不少,哪天有空,可以多说一些。
家园 我一直有个疑问,这些系统没法做压力测试么 我不是干这行的,所以这个问题可能太外行了。有没有可能人工模拟系统的巨大压力,至少可以先内部自己试试行不行再上线啊。做工程的人都知道,模型是很重要的,模型如果都通不过,真正的实验更别提了。我小时候家门口有个水利部门的实验室,里面都是按比例缩小的码头、水电站之类的模型,还有模拟的河流、海滩,然后模拟各种自然现象下那些模型会不会出问题。
回到网站这个问题,其实大名鼎鼎的惠普照样搞不定。他们自己甩卖touchpad的时候,自己网站的购物系统照样崩溃,不过你要是买别的东西还行。
家园 大型系统设计要从用户体验逆推。 首先是查询,查询可以用平行分流,路线是固定的,不需要和中央系统实时对话, 等待时间和余票百分比代替具体票数.用户要求知道某时某地出发到某地有几种选择,各种路线耗时,价钱,预估购票成功机会。看到要等1个小时去争1%余票的人估计不会太多. 用排队红绿色小人的图形显示也行. 这里就是个影响用户反馈的节点。用户有个各种选择路线的心理排位,你可以通过查询信息排位来影响用户的心理排位。比如航空公司经常把较冷门日期的航班价格降低下来对冲热门时间。同样查询结果中有的路线可以实时定票,有的需要等待可以起一部分的分流平流的作用。当然有的用户可能为此刷屏,像摇老虎机那样希望刷出热门路线的实时定票,这种可以用专门的技术手段处理。
现在我们处理选择等待的用户, 大多数人都没有网上排队的心理准备.自然反应一个是刷屏,一个是同时开另个网页骂体制. 其实这个时间完全可以用来理顺个人信息,支付渠道. 先交10元的排队费, 确定买票后票价中扣除,放弃不退.再让用户有多个选择,按心理排位同时选几个路线一起排队, 再选择及时通知工具,用户自己选短信, 自动回电...专门给个定购号,定购号指向专门临时网页用来给人刷屏用.刷屏网页不联中央系统除了确定的用户个人信息外,最多一张人机分辨图, 让用户给自己发信息的安慰键.一个定购号有效时间倒计时,选择路线一键购票的红绿按钮. 为了防止一个用户占几个队却只守着热门票, 一个定购号只及时通知第一条路线支付等候. 超时不用,自动购票键自动从绿变红, 及时通知支付等候超时无反应失败.第一次最少再等10分钟, 第二次30分钟, 第三次等于从头排起.
防黄牛不应该是系统的主要责任. 云计算当系统压力测试. 模拟每秒百万级别的查询,刷屏,信息输入和定购号DDos.
家园 还是觉的njyd的方法最简单 比如十天后,八点多的票今天八点开放,九点多的票今天九点开放,每小时放一批,这样如果你本来想买的是下午的票,不需要早上就去抢票。至少并发访问量只有现在的十分之一。只需改下规则,压力明显下降。