你以为是广告，其实是探针，我把这种“短链跳转”的链路追完了：它专挑深夜推送，因为你更冲动|黑料不打烊资讯库-黑料爆料出瓜持续追踪

你以为是广告，其实是探针，我把这种“短链跳转”的链路追完了：它专挑深夜推送，因为你更冲动

引子深夜关灯刷手机的那一刻，弹出来的一条“限时”“你可能想看”的推送，往往比白天更能把人拉进去。大多数人把它当成普通广告——点不开就划走。可我跟着一条短链一路拆解下来，发现它并不是单纯的促销，而是一个精心设计的“探针”链路：用短链掩盖真实去向、分层判定用户状态、再把不同的人导向不同结果。把这套链路拆完之后，我发现它专门偏爱深夜推送，背后的逻辑并不简单。

我怎么发现的一个朋友半夜把一条看起来像是新闻推荐的推送截图发给我，说“看着像诈骗，你来看看”。我复制链接后没有直接打开，而是用浏览器和命令行工具逐跳检测。短链跳出的第一秒到最后一页之间，经过了多个重定向和埋点请求。我把每一步都记录下来，分析了域名、HTTP头、cookie、JS逻辑和时间条件，最终把这条跳转链路还原成一个“探针—判定—分流—承接”的完整流程。

短链跳转链路剖析（核心要素）

第一层：短链包装（短链服务或自建短域）
用短域隐藏真实目标，快速通过平台审核或规避简单的黑名单过滤。
短链通常带参数 token，作为一次性或会话级别的标识。
第二层：探针服务器（Redirector / Tracker）
接收短链请求后不直接去最终页，而先记录请求的各种信息：UA、设备指纹、IP、Referer、时间戳、是否来自应用内浏览器或系统浏览器、是否有可疑插件或广告屏蔽器等。
这个环节决定“你是谁”和“你现在是处于什么状态”。
第三层：判定逻辑（A/B 测试与行为判断）
根据探针收集的数据运行规则或模型：深夜规则、已登录/未登录、地理位置、点击速率、是否开启通知、是否第一次访问等。
不同条件会触发不同的分流：某些用户被导向“软广”页（资讯、文章），某些被导向高转化页（电商促销、订阅诱导），也有的被直接诱导下载 APP 或暴露“诱导分享”的页面。
第四层：承接页（动态内容与埋点）
最终页面可能是动态拼装：有专门的脚本判断是否显示刺激性文案、倒计时、优惠券、验证信息抓取等。
同时继续埋更多追踪像素，收集转化与再营销数据。

为什么偏挑深夜推送

冲动与自控下降：深夜疲惫时，人们的抑制力变弱，更容易对“限时”“只剩几份”的提示作出冲动行为。营销转化数据常见的趋势是深夜转化率有明显上升。
注意力分散：夜间使用手机通常是轻度浏览或消遣模式，更容易接受快速决策，不会像白天那样对比多家或理性评估。
推送进入门槛低：很多应用的推送权限一旦默认允许，就会在任何时段触达。平台允许定时推送或动态推送策略，运营方就能在深夜段集中投放。
设备与环境线索容易判断：夜间请求携带的时间戳、屏幕亮度环境（某些JS可估算）、系统主题（暗色模式）等信息可以作为“用户处于夜间”的信号，探针据此对内容策略做即时调整。

我把链路追完的实操流程（可复现步骤） 1) 从推送中复制短链，先不要在常用浏览器直接点开。 2) 使用 curl -I -L [url] 或 curl -v 来查看 3xx 重定向链和 Location 头；将 -L 去掉可以逐跳记录。 3) 用在线“unshorten”服务或 redirect-checker 查看完整跳转序列，或在本地用浏览器的网络监控（DevTools -> Network）一步步观察。 4) 抓包分析：在允许的情况下用 mitmproxy、Charles、Fiddler 抓 HTTPS（需要信任证书）来查看请求体、返回体、JS加载逻辑以及第三方域名请求。 5) 检查 Domain / WHOIS / DNS：通过 whois、dig、nslookup 看域名注册信息、CNAME 指向（很多广告/埋点会通过 CNAME Cloaking 隐藏真实域）。 6) 查看 JavaScript：在承接页查看加载的脚本，找关键词如 “fingerprint”, “behavior”, “abtest”, “dynamic”, “conversion”等，并观察是否存在按时间或 UA 分支的逻辑。 7) 模拟不同条件：改 User-Agent、清除/加入 cookie、改变 Referer、在深夜与白天分别测试，观察页面内容是否变化。

常见的“探针”技术与伎俩