12306抢票插件拖垮GitHub

　　连城404在其微博上发布，12306抢票助手插件12306_ticket_helper因为引用了GitHub上的js文件，洪水般的用户请求拖慢了整个GitHub，以至于GitHub管理员不得不请求作者不要引用这些文件。

　　微博上的精彩评论：

　　范凯robbin：浏览器插件“12306订票助手”未来一两周随着越多人春节刷票，极可能拖垮Github。查看问题详细讨论作者自己描述的原因看下文的引用。代码逻辑很欠考虑，返回403就不应该不停的隔5秒轮询重试了，结果搞成了DDOS。

　　@cnsns：是一个订票插件引用了GitHub的文件，而这个插件被金山的猎豹浏览器，和淘宝的某个服务使用，于是GitHub瘦不了了。特别建议点入那个链接，电梯直达下层，很欢。

　　Max_HeY：这是在转嫁负载了，Github本身就不是高并发类型的使用需求，被一下猛戳上亿次挂了很正常，不能用这个解释铁道部那个**多值1万块软妹币网站的垃圾。

　　J-逍遥游：开源的力量强大，建议发起者采用一个合适的license以便保护原创，吸引更多开发者拓展插件功能，规避法律责任和防止商用。

　　叶落孤舟：「我说是抢票插件，果然是，猎豹抢票版。」目前综合多方分析，是因为该12306抢票插件被打包进猎豹浏览器抢票专版中，会去GitHub查询更新信息，由于该版本猎豹带来的访问量巨大，GitHub已经将该插件的访问重定向到作者自己的网站，目前GitHub已经恢复正常。据知情人士说，该服务将迁移到新浪云上。

　　ohnhax：GitHub为什么会被一个抢票插件搞挂?**，该插件用户众多，从原作者透露的信息，至少有10000+以上;其次，猎豹浏览器内置了该插件，并大量分发;再次，可能有大量无良投机分子非法将该插件重新包装在淘宝上销售。**后，**关键的一点是，铁道部太烂导致大家都要用抢票插件。

　　Chinainvent：咱们买票，还伤害到国际友人了，对话还算诚恳@Bergwolf:12306躺枪啊，看ticket明明是某chrome/firefox的自动购票脚本开发者干的。GitHub也太不行了吧，会用脚本购票的人相对12306的访问量可以完全无视。

　　GitHub上的精彩评论：

　　liyinkan：其实我想说，这个插件非常畅销。12306是一个不巧的神话。“天王盖地虎，宝塔镇河妖。”猎豹浏览器也躺枪了~GFW其实是在保护全**的人民，这是一盘很大的棋!

　　Google搜索部门工程师Rui Lopes：记住了同学们，服务器扩展性是多么重要，以及如何把GitHub当CDN用到爆;不知道GitHub有没有自我保护机制，这货看起来蛮容易DDOS的……

　　信息安全技术工程师Peck：我们平时的扩展性都是纸上谈兵，.cn的扩展性才是实战。

　　下面是作者对此次事故做出的解释：

　　因为之前更新检查的js文件我一直放在GitHub上，所以GitHub上始终都是**的，因此我一直用这里的js来检查更新。之所以这么选择的原因还有一个是：Chrome的安全特性，在HTTPS协议(12306)下，不允许运行从非安全协议(HTTP)下过来的文件，因此我手上没有任何可用的HTTPS服务器，GitHub正好是HTTPS，也就正好符合了这个要求。

　　但是GitHub的Raw有个限制(貌似是)，具体限制多少不清楚，表现为：当访问稍微频繁点的话，就会返回403 Forbidden错误。因此导致更新推送几乎不可用。于是我没有经过深思熟虑便用了**简单的方式：重试。当加载返回403的时候，便延迟5秒尝试重新加载。

　　但是，越是这样执着，GitHub便越人死扣不肯返回正常的文件，直接导致反复重新加载。因此，5秒的周期会导致成为一个类似于DDOS的趋势。我实在无法估计到底有多少用户，因此也无法估计到底会有多少请求发送到GitHub.

　　当然，采取这样措施的时候还是有考虑到负载的。之前的更新检测放在查询页面，但是查询页面是个反复刷新或请求的页面，因此我估计这个已经会成为一个攻击的来源，因此将检测更新代码移至**顶层框架里面(也就是根路径/otsweb/或/otsweb/main.jsp)，在反复刷票的情况下，这个框架基本上是很少被刷新的。不过很明显我低估了用户数和GitHub的执着度，虽然做了如此的变动，但还是导致GitHub收到影响。

　　由此得出的教训是：1.不要低估用户量;2.做事不要太执着，得不得的就非要获得，否则誓不罢休。

　　相关阅读：

　　12306后台技术框架及表结构被曝光

　　程序员不满订票难 自建12306开源项目组

　　(责任编辑：leonlee07)