CN107733633A

CN107733633A - 一种基于算力的防爬虫方法

Info

Publication number: CN107733633A
Application number: CN201710863740.1A
Authority: CN
Inventors: 罗智高
Original assignee: Chengdu Zhidaochuangyu Information Technology Co Ltd
Current assignee: Chengdu Zhidaochuangyu Information Technology Co Ltd
Priority date: 2017-09-22
Filing date: 2017-09-22
Publication date: 2018-02-23
Anticipated expiration: 2037-09-22
Also published as: CN107733633B

Abstract

本发明公开了一种基于算力的防爬虫方法，在服务器端生成客户端请求的页面；将网页使用随机生成的密钥及加密算法进行加密，并生成解密的JavaScript代码，包括一个与正确解密密钥邻近或相关联的密钥；客户端接收到请求后，执行JavaScript解密代码，通过暴力尝试将网页解密；通过浏览器渲染解密后的网页。本发明采用将网页加密并返回加密后的页面和解密代码，让客户端暴力尝试解密密钥，通过调整加密强度，可不同程度消耗客户端CPU资源，避免同一客户端在短时间内大量抓取网站内容，有效缓解大规模的网络爬虫对服务器资源的消耗。

Description

一种基于算力的防爬虫方法

技术领域

本发明涉及防爬虫技术领域，具体为一种基于算力的防爬虫方法。

背景技术

目前传统的防爬虫系统通常采用IP黑名单、User-Agent及其他访问参数黑名单、请求频率、各种交互类型的验证码等对网络爬虫进行限制。

采用IP黑名单的方法，WEB服务器在收到一个请求时，先计算出这个请求IP的访问频率，超过设定的阈值时，向客户端返回错误信息提示页面。但是，在NAT网络环境下可能出现误报，而且通过使用代理IP，可以绕过IP访问频率限制，防护效果不是很理想。

采用User-Agent的方法，通过WEB访问日志或抓包获取部分网络爬虫的请求特征(User-Agent及其他HTTP请求头信息)，设置相应的拦截规则，拦截网络爬虫的请求。但是，User-Agent及HTTP请求头信息都可以自定义，通过随机化这些值，就可绕过设置的网络爬虫拦截规则，防护效果也不理想。

使用其他形式的验证码进行人机识别时，由于网络爬虫不能直接输入正确的验证码，所以网络爬虫不能对网站内容进行抓取。对正常访问的用户体验不好，需要频繁的输入验证码。

术语解释：

网络爬虫：一种按照一定的规则，自动地抓取万维网信息的程序或者脚本。

NAT网络：通过网络地址转换技术使用少量的公有IP地址代表较多的私有IP地址。即大量设备共享同一个共有IP。

算力：计算机的运算能力。

发明内容

针对上述问题，本发明的目的在于提供一种采用加密响应内容，让客户端暴力尝试解密，以消耗网络爬虫的CPU资源，避免网络爬虫在短时间内大量抓取网站内容的基于算力的防爬虫方法。技术方案如下：

一种基于算力的防爬虫方法，包括以下步骤：

步骤1：在服务器端生成客户端请求的页面；

步骤2：将网页使用随机生成的密钥及加密算法进行加密，并生成解密的JavaScript代码。

进一步的，所述解密的JavaScript代码包括一个与正确解密密钥邻近或相关联的密钥。

更进一步的，所述加密算法采用AES加密算法、RSA加密算法、DES加密算法或RC4加密算法。

更进一步的，所述步骤2之后还包括：

步骤3：客户端接收到请求后，执行JavaScript解密代码，通过暴力尝试将网页解密；

步骤4：通过浏览器渲染解密后的网页。

本发明的有益效果是：

本发明采用将网页加密并返回加密后的页面和解密代码，让客户端暴力尝试解密密钥，通过调整加密强度，可不同程度消耗客户端CPU资源，避免同一客户端在短时间内大量抓取网站内容，有效缓解大规模的网络爬虫对服务器资源的消耗。

附图说明

图1为本发明基于算力的防爬虫方法的步骤流程图。

具体实施方式

下面结合具体实施例对本发明做进一步详细说明。本发明主要用于WEB服务器，通过客户端算力解密服务器端返回的加密页面，用于缓解网络爬虫对服务器资源的消耗及网络爬虫对网页内容进行拷贝。流程图如图1所示，具体步骤如下：

步骤一:在服务器端生成客户端请求的页面。

如客户端发起如下请求:

正常情况下，WEB服务器会读取文件index.html的内容并返回给客户端。此时生成的响应页面假设为：

步骤二:将网页使用随机生成的密钥及高强度的加密算法加密，并生成解密的JavaScript代码。

解密的JavaScript代码包含一个与正确解密密钥邻近或与正确解密密钥存在一定关系的密钥。

此处以AES(Advanced Encryption Standard高级加密标准)加密算法为例，在实际实施过程中，可替换其他加密算法，如RSA加密算法、DES(Data Encryption Standard，数据加密标准)、RC4加密算法等。响应体中，“This is html body.”是HTML的BODY部分。使用AES算法加密BODY内容，随机设置一个密钥，此处假设为:1000334，加密后结果为：

U2FsdGVkX1+pCGfezMQLG2rtuT5ZvG+gpS23i0KEnbhg4qJO4eB2c9KTwRMfJo5XKPk1xmPWrgIXX4jiS66R9DYoKeUDwfpYG+R38sTUYBw＝

将加密后的结果替换成原始的BODY，再加入解密算法，并设置一个初始的与正确解密密钥邻近或相关联的解密密钥，如1000000。

最终返回给客户端的响应内容为：

此时，若是普通的网络爬虫，不会进行下面的步骤三和步骤四，所以抓取到的页面为加密后的内容，没有实际意义。若是有执行Javascript代码能力的爬虫，则会执行解密操作，但一次解密操作会一定消耗CPU资源和时间，具体根据初始密钥和正确密钥的差距。所以网络爬虫无法在短时间内解密大量加密页面，从而缓解了网络爬虫对网络服务器资源的消耗和内容拷贝。

步骤三：客户端接收到请求后，执行Javascript解密代码，虽然没有正确的密钥，但存在一个与正确密钥相关的有关的密钥，通过暴力尝试可将网页解密。

本实施例，初始密钥设置为1000000，正确的密码为1000334，客户将根据解密代码中设置的方法(递增)暴力尝试密钥。在实际实施过程中，可换做其他密钥变换方式(如哈希碰撞、大数因数分解等)，防止攻击者采用二分法或其他方法跳过部分密钥以减少尝试次数。

客户端在尝试334次解密后，最终成功的解密出原始的BODY内容，将HTML中的密文的替换成解密后的结果。

步骤四：浏览器渲染解密后的网页。

本实施例采用加密响应内容，让客户端暴力尝试解密，可消耗网络爬虫的CPU资源，避免网络爬虫在短时间内大量抓取网站内容。

Claims

1.一种基于算力的防爬虫方法，其特征在于，包括以下步骤：

步骤1：在服务器端生成客户端请求的页面；

2.根据权利要求1所述的基于算力的防爬虫方法，其特征在于，所述解密的JavaScript代码包括一个与正确解密密钥邻近或相关联的密钥。

3.根据权利要求2所述的基于算力的防爬虫方法，其特征在于，所述步骤2之后还包括：

步骤4：通过浏览器渲染解密后的网页。

4.根据权利要求1所述的基于算力的防爬虫方法，其特征在于，所述加密算法采用AES加密算法、RSA加密算法、DES加密算法或RC4加密算法。