如何保护/监控您的网站免遭恶意用户抓取

Question

情况：

• 网站的内容受用户名/密码保护（并非全部受控，因为他们可以是试用/测试用户），
• 由于用户名/密码限制，普通搜索引擎无法访问该网站，
• 恶意用户仍然可以登录并传递会话 cookie到“wget -r”或其他东西。

问题是监视此类活动并对其做出响应的最佳解决方案是什么（考虑到站点策略不允许爬行/抓取）

我可以想到一些选项：

1. 设置一些流量监视解决方案以限制请求的数量给定的用户/IP。
2. 与第一点相关：自动阻止某些用户代理
3. （邪恶:)）设置一个隐藏链接，在访问该链接时注销用户并禁用他的帐户。 （大概普通用户不会访问它，因为他看不到它并单击它，但机器人会抓取所有链接。）

对于第 1 点，您是否知道已经实施的良好解决方案？ 有什么相关经验吗？ 一个问题是，对于非常活跃但人类的情况，可能会出现一些误报。 用户。

对于第三点：你认为这真的很邪恶吗？ 或者您认为它可能存在任何问题吗？

也接受其他建议。

Answer 1

我不建议自动锁定，并不是因为它们一定是邪恶的，而是因为它们向恶意用户提供了他们触发传感器的即时反馈，并让他们知道不要对他们签署的下一个帐户做同样的事情跟上。

并且用户代理阻止可能不会有太大帮助，因为显然用户代理很容易伪造。

您能做的最好的事情就是监控，但是您仍然必须询问如果检测到恶意行为您将做什么。 只要您拥有不受控制的访问权限，您锁定的任何人都可以使用不同的身份再次注册。 我不知道您需要什么样的信息才能获得帐户，但例如，仅姓名和电子邮件地址不会对任何人构成太大障碍。

这是典型的 DRM 问题——如果任何人都可以看到该信息，那么任何人都可以用它做任何他们想做的事情。 你可以让它变得困难，但最终如果有人真的下定决心，你就无法阻止他们，并且你可能会干扰合法用户并损害你的业务。

Answer 2

第1点有你自己提到的问题。 此外，它也无助于减缓网站的爬行速度，或者如果有的话，对于合法的重度用户来说可能会更糟。

您可以扭转第 2 点，只允许您信任的用户代理。 当然，这对对抗伪造标准用户代理的工具没有帮助。

第 3 点的变体只是向网站所有者发送通知，然后他们可以决定如何处理该用户。

同样，对于我对第 2 点的变体，您可以将其设置为更温和的操作，并仅通知有人正在使用奇怪的用户代理访问该网站。

编辑：相关的是，当我访问自己的非公开 URL 时，我曾经遇到过一个奇怪的问题（我只是暂存一个我没有在任何地方宣布或链接的网站）。 虽然除了我之外没有人应该知道这个 URL，但我突然注意到日志中的点击次数。 当我找到它时，我发现它来自某个内容过滤网站。 事实证明，我的移动 ISP 使用第三方来阻止内容，并且它拦截了我自己的请求 - 因为它不知道该网站，所以它然后获取我试图访问的页面，并且（我假设）在其中进行了一些关键字分析来决定是否阻止。 这种事情可能是您需要注意的尾端情况。

Answer 3

取决于我们谈论的是哪种恶意用户。

如果他们知道如何使用 wget，他们可能可以设置 Tor 并每次获取新的 IP，慢慢复制你拥有的一切。 我认为您无法在不给您的（付费？）用户带来不便的情况下阻止这种情况。

它与游戏、音乐、视频上的 DRM 相同。 如果最终用户应该看到某些内容，那么您就无法保护它。

Answer 4

简短的回答：它无法可靠地完成。

您可以通过简单地阻止在某个时间范围内导致一定数量的点击的 IP 地址来走很长的路（一些网络服务器开箱即用地支持这一点，其他网络服务器需要一些模块，或者您可以通过解析日志文件来做到这一点，例如使用 iptables ），但您需要注意不要阻止主要搜索引擎爬虫和大型 ISP 的代理。

Answer 5

选项 3 的问题在于，一旦爬虫弄清楚发生了什么，自动注销就很容易避免。

Answer 6

@frankodwyer：

• 只有受信任的用户代理才不起作用，尤其要考虑 IE 用户代理字符串，它会被插件或 .net 版本修改。 可能性太多，而且可以伪造。
• 第 3 点的变化。通知管理员可能会起作用，但如果管理员没有持续监控日志，这将意味着不确定的延迟。

@Greg Hewgill：

• 自动注销也会禁用用户帐户。 至少必须创建一个新帐户，留下更多踪迹，例如电子邮件地址和其他信息。

随机更改 3. 的 logout/disable-url 会很有趣，但还不知道如何实现它:)

Answer 7

http://recaptcha.net

每次有人登录或注册时。 也许您可以每十次显示一次验证码。

Answer 8

添加评论：

• 我知道您无法完全保护普通用户应该能够看到的内容。 我一直站在这个问题的两面:)
• 从开发人员的角度来看，您认为花费的时间与受保护的案例的最佳比例是多少？ 我猜想一些简单的用户代理检查会删除一半或更多的潜在爬虫，我知道你可以花几个月的时间来开发以防止最后 1%

再次，从服务提供商的角度来看，我也感兴趣一个用户（爬虫）不会为其他用户消耗CPU/带宽，因此您可以指出任何好的带宽/请求限制器吗？

对评论的回应： 平台规范：基于在 JBoss AS 上运行的 JBoss Seam 的应用程序。 不过前面有一个apache2。 （在Linux上运行）

Answer 9

Apache 有一些按 IP 限制带宽的模块 AFAIK，对于我自己的包含大量数字内容的大型 Java/JSP 应用程序，我使用了自己的 servlet 过滤器来执行相同的操作（并限制来自一个 IP 块的同时连接等）。

我同意上面的评论，最好是微妙的，这样恶意用户就无法知道他们是否/何时触发了你的警报，因此不知道采取规避行动。 就我而言，我的服务器似乎变得缓慢、不稳定且不可靠（所以没有变化）...

Rgds

Damon