Traffic Analysis · 2026-04-03
短信点击 IP 流量分析
基于 04-03 当日 38,645 条请求日志,对短信链接的点击流量进行 IP 分类、UA 指纹识别和可疑流量标注。
总请求数
38,645
当日 00:00 – 13:59
独立 IP 数
26,664
IP/请求 比 = 0.69
流量构成分析
| 流量类别 | IP 数 | 请求数 | 占比 | 请求分布 | 判定 |
|---|
| 运营商反垃圾扫描 |
21,114 |
25,509 |
66.0% |
|
反垃圾 |
| 真实用户 |
5,236 |
8,412 |
21.8% |
|
有效 |
| 模拟器集群 (Nexus 5) |
35 |
1,937 |
5.0% |
|
偷量 |
| 云服务器机器人 |
45 |
1,873 |
4.8% |
|
偷量 |
| 可疑多路径扫描 |
23 |
392 |
1.0% |
|
可疑 |
| 其他/未知 |
211 |
522 |
1.4% |
|
待定 |
核心结论
每 10 次点击中仅 2 次来自真实用户。其余 78.2% 为运营商反垃圾系统预检(66%)、云服务器机器人(4.8%)和 Nexus 5 模拟器集群偷量(5.0%)。
运营商扫描属于正常行为(不收费),真正需要关注的是 模拟器 + 云服务器机器人共 3,810 次伪造点击(9.9%),它们直接虚增了点击率指标。
请求时间分布
时段特征
流量高度集中在 10:00–12:00,两小时内产生 28,666 次请求(74.2%),与短信批次投放时段高度吻合。
凌晨时段(0–6时)仍有约 1,200 次请求,主要为运营商反垃圾系统的异步预检行为,非真实用户点击。
偷量 IP 特征画像
模式 A:Nexus 5 模拟器集群
| IP 地址 | 请求数 | 路径数 | UA 指纹 | 服务商 |
|---|
| 129.204.31.216 | 80 | 73 | Nexus 5 / Chrome 99 / MicroMessenger | 腾讯云 |
| 193.112.35.218 | 78 | 69 | Nexus 5 / Chrome 99 / MicroMessenger | 腾讯云 |
| 106.52.249.139 | 72 | 68 | Nexus 5 / Chrome 99 / MicroMessenger | 腾讯云 |
| 106.55.255.207 | 72 | 64 | Nexus 5 / Chrome 99 / MicroMessenger | 腾讯云 |
| 129.204.118.204 | 71 | 61 | Nexus 5 / Chrome 99 / MicroMessenger | 腾讯云 |
| 106.53.102.224 | 71 | 64 | Nexus 5 / Chrome 99 / MicroMessenger | 腾讯云 |
| 42.194.128.82 | 68 | 63 | Nexus 5 / Chrome 99 / MicroMessenger | 腾讯云 |
模式特征
35 个 IP 全部部署在腾讯云服务器上,使用完全相同的 UA 指纹:Nexus 5 Build/MRA58N + Chrome/99 + MicroMessenger/7.0.1。
Nexus 5 是 2013 年的设备、Chrome 99 是 2022 年的版本——真实用户不可能还在用这个组合。
每个 IP 平均访问 55 个不同路径(短链),说明这些是批量刷短链的偷量机器人,伪装成微信浏览器内访问。
模式 B:云服务器高频扫描
| IP 地址 | 请求数 | 路径数 | UA 指纹 | 服务商 |
|---|
| 4.204.200.32 | 298 | 125 | 空 UA | Azure |
| 20.151.229.110 | 200 | 60 | 空 UA | Azure |
| 47.93.59.76 | 163 | 113 | Android 13 / SM 系列 | 阿里云 |
| 123.56.252.219 | 132 | 93 | Android 13 / SM 系列 | 阿里云 |
| 123.57.206.123 | 110 | 69 | Android 13 / SM 系列 | 阿里云 |
| 223.92.17.1 | 132 | 65 | Windows Chrome | 阿里云 |
模式特征
分布在阿里云 + Azure数据中心,单 IP 最高 298 次请求、覆盖 125 个不同短链路径。Azure 的两个 IP 甚至不带 UA 头(空值),是最原始的爬虫行为。
阿里云的 IP 使用 Android 13 / SM 系列 伪装三星手机,但来自服务器 IP 段,属于典型的 UA 伪造。
IP 频次分布
| 访问频次 | IP 数 | 占比 | 分布 | 判断 |
|---|
| 1 次 | 21,161 | 79.4% |
|
大部分为运营商预检/真实一次性点击 |
| 2–5 次 | 5,317 | 19.9% |
|
正常,HTTP 301 跳转产生二次请求 |
| 6–10 次 | 101 | 0.4% |
|
轻度异常,需结合 UA 判断 |
| 11–50 次 | 52 | 0.2% |
|
高度可疑,多为云服务器 IP |
| 51–100 次 | 27 | 0.1% |
|
确认偷量——模拟器集群 |
| 100+ 次 | 6 | 0.0% |
|
确认偷量——阿里云/Azure 机器人 |
对进粉漏斗的影响
日志记录点击
38,645
Nginx 原始请求数
点击虚增倍率
4.6×
38,645 / 8,412
漏斗影响推算
如果平台计量的"点击数"未过滤运营商扫描和机器流量,则上报的点击率会被虚增约 4.6 倍。
实际的短信→真实点击转化率应远低于平台展示值。
但需注意:平台侧(如城市拆分表中的"用户-点击-短信"字段)通常已经过 JS 埋点 + 用户行为校验,
与 Nginx 原始请求日志的口径不同。这份日志的价值在于:验证了偷量行为确实存在(Nexus 5 集群 + 云服务器伪造),
且偷量方的基础设施可被精准定位(腾讯云 / 阿里云 / Azure)。
处置建议
即时动作
· 在 Nginx 层封禁 35 个 Nexus 5 模拟器 IP(腾讯云段)
· 封禁 4.204.200.32、20.151.229.110 两个 Azure 高频 IP
· 添加 UA 黑名单规则:Nexus 5.*Chrome/99.*MicroMessenger
长期机制
· 部署 IP 信誉库,自动标记云服务器 IP 段
· 短链加入 JS Challenge(真实浏览器才能触发计数)
· 每日请求日志自动跑本分析,持续监控偷量趋势
· 与平台方确认"点击数"口径,排除 antispam 预检