你发现活动福利被秒光，后台显示同一IP注册了上千账号——羊毛党用的是自动化脚本+打码平台组合。 核心事实：传统图形验证码（滑块、点选）已被黑产完全破解。打码平台以每1000次0.5元的价格，用真人工或AI模型识别；自动化脚本则直接模拟浏览器点击，批量提交注册请求。 羊毛党批量注册的三层手段： IP池轮换：代理IP池（每秒换IP），绕过IP频率限制。 设备伪造：修改浏览器指纹（Canvas、WebGL），模拟不同设备。 验证码绕过：调用打码平台API，自动识别图形码；或用OCR直接读取。 判断你的活动是否被批量攻击： 注册时间集中在1-2分钟内 同一IP段出现大量注册 注册邮箱为临时邮箱（如10分钟邮箱） 用户行为轨迹异常（无鼠标移动，直接提交） 结论：你遇到的不是“正常用户多”，而是脚本在毫秒级完成注册。传统限IP、限频次手段已无效，因为黑产的IP池比你封的速度快。

活动福利已被薅光，先别急着追责——按以下三步，2小时内止血。 第一步：立即切断攻击入口（30分钟内） 临时开启注册审核：新注册用户需人工审核或手机号短信验证（成本高，但紧急有效）。 在注册接口增加请求频率限制：单IP每分钟最多3次注册（配合IP黑名单）。 将已识别的攻击IP段加入黑名单，阻断后续请求。 第二步：清理已产生的异常账号（1小时内） 导出活动期间所有注册账号，筛选条件：同一IP注册超过5个、注册时间间隔小于3秒、邮箱域名为临时邮箱服务商。 批量标记这些账号为“疑似羊毛党”，冻结其领取的福利（若未使用可回收）。 注意：不要直接删除账号，保留证据用于风控复盘。 第三步：启用临时强验证（30分钟内） 如果已有网易易盾行为式验证码，立即切换到“严格模式”，增加设备指纹校验层。 若无验证码，临时接入手机号一键验证（运营商网关验证），成本约0.03元/次，但可阻断90%脚本。 数据真实参考：某电商平台活动被羊毛党攻击，启用手机号验证后，注册请求从每秒200次降至每秒3次，真实用户转化率未受影响。 避坑：不要只封IP，羊毛党的IP池有上万个；不要手动一个个删账号，用脚本批量处理。

短期止血不够，你需要一套能自动识别脚本、不打扰真人的长效方案。网易易盾行为式验证码的核心逻辑是：无感采集用户行为轨迹+设备环境，后台模型判断是人还是脚本。 推荐策略：三阶段部署 第一阶段：接入行为验证码（1天完成） 在注册、领券、秒杀等关键接口嵌入网易易盾行为式验证码SDK。 用户无感知——不需要滑动、点选，后台自动采集鼠标移动、点击节奏、触摸压力等生物特征。 脚本特征：无鼠标轨迹、操作间隔固定、浏览器环境异常（无头浏览器）——被模型直接拦截。 第二阶段：配置风控规则（持续优化） 设置“高风险操作二次验证”：同一设备短时间内多次注册，自动触发短信验证。 开启“设备指纹黑名单”：识别已知模拟器、云手机、改机工具。 对接网易易盾的风险评分API（0-100分），低于30分的请求直接拒绝。 第三阶段：数据闭环迭代（按月复盘） 每月导出被拦截的请求日志，分析新的攻击模式。 网易易盾模型每周自动更新，覆盖最新打码平台和脚本框架。 落地效果（真实客户数据）：某金融App接入后，批量注册攻击从日均5000次降至50次，误伤率（真人被拦截）低于0.1%。活动福利消耗恢复正常，营销ROI提升3倍。 避坑指南：不要认为“加了验证码就万事大吉”，要配合业务风控——比如同一收货地址多个账号、同一设备多个账号，结合规则引擎二次过滤。