携程反爬中的Eleven参数-反爬与反反爬的奇技淫巧

大家好,先回顾下之前的文章:

爬虫被封IP了怎么办-反爬与反反爬的奇技淫巧

爬虫中的验证码识别-反爬与反反爬的奇技淫巧

爬虫中Cookie的伪造(非登录)-反爬与反反爬的奇技淫巧

爬虫与诡异的字体-反爬与反反爬的奇技淫巧

爬虫与汽车之家的Css:Content-反爬与反反爬的奇技淫巧

爬虫与CloudFlare邮箱加密(cfemail)-反爬与反反爬的奇技淫巧

今天我们要聊点什么呢,之前说要聊去哪儿的,不过暂且咱们再放一放,先聊一聊去哪儿的干爹携程吧,上次我记得看了携程工程师霸气回应说懂爬虫的来去哪儿,懂反爬的来携程。我觉得特别棒,这种开放的心态和自信,正是一个开放的互联网环境所需要的。

所以今天这节课虽然咱们以携程为例,但是我们还是以学习的目的为主,因此我不会把完整的代码放出来,大家掌握思路,拿到渔网比直接copy代码有用的多。

上篇文章用邮箱加密给大家演示了爬虫中简单的JS对抗,今天这节课咱们就用携程的Eleven参数来演示下复杂的JS对抗。

对了,这个题图,主要是因为携程给他们这个反爬的JS起了一个名字叫oceanball-海洋球,不明觉厉啊。

好了,言归正传。做过携程酒店爬虫的朋友,估计都研究过这个eleven参数,这个参数到底是哪里的呢,我们先看下页面请求:

就是这样一个页面,打开一个酒店页面会发现实际的酒店房型列表是一个ajax请求,如下:

http://hotels.ctrip.com/Domestic/tool/AjaxHote1RoomListForDetai1.aspx?psid=&MasterHotelID=441351&hotel=441351&EDM=F&roomId=&IncludeRoom=&city=2&showspothotel=T&supplier=&IsDecoupleSpotHotelAndGroup=F&contrast=0&brand=0&startDate=2017-08-28&depDate=2017-08-29&IsFlash=F&RequestTravelMoney=F&hsids=&IsJustConfirm=&contyped=0&priceInfo=-1&equip=&filter=&productcode=&couponList=&abForHuaZhu=&defaultLoad=T&TmFromList=F&eleven=c4350e460862b69d9d76724e1325a0a54ef23c2e0648636c855a329418018a85&callback=CASuBCgrghIfIUqemNE&_=1503884369495

前面咱说过,出于对反爬工程师工作的尊重,我们今天的文章不去完整介绍整个携程爬虫的做法,其实除了这eleven参数,携程还是在代码了下了不少毒的。

爬虫与CloudFlare邮箱加密(cfemail)-反爬与反反爬的奇技淫巧

大家好,今天我们终于要进入我们激动人心的反爬界最重量级选手–Javascript加密混淆,我们先来回顾之前叨逼叨了5篇文章的反爬经验:

爬虫被封IP了怎么办-反爬与反反爬的奇技淫巧

爬虫中的验证码识别-反爬与反反爬的奇技淫巧

爬虫中Cookie的伪造(非登录)-反爬与反反爬的奇技淫巧

爬虫与诡异的字体-反爬与反反爬的奇技淫巧

爬虫与汽车之家的Css:Content-反爬与反反爬的奇技淫巧

由于Javascript这块的内容很多,难度也不一样。所以这一篇文章希望给大家讲一些入门级别的。本来找来找去感觉都是高段位玩家,然而今天在做邮箱地址爬虫的过程中一段代码突然跳到了我的面前-邮箱地址加密JS。恰好难度适中,就今天拿出来跟大家一起聊一聊:

首先当然是上广告:

不可言说与迷之强大的邮箱采集爬虫:

网页邮箱Email采集爬虫-营销必备工具-神箭手云

下面我们就进入正题,先来看看这个文章标题上的内容跟我们这篇文章到底有啥关系:

CloudFlare是一家美国的跨国科技企业,总部位于旧金山,在英国伦敦亦设有办事处。CloudFlare以向客户提供网站安全管理、性能优化及相关的技术支持为主要业务。通过基于反向代理的内容传递网络(ContentDeliveryNetwork,CDN)及分布式域名解析服务(DistributedDomainNameServer),CloudFlare可以帮助受保护站点抵御包括拒绝服务攻击(DenialofService)在内的大多数网络攻击,确保该网站长期在线,同时提升网站的性能、访问速度以改善访客体验。

看完了好像还是没关系,别急,我们今天要讲的是CloudFlare中的一个功能,叫做Email Obfuscation,也就是邮箱混淆。

当我们使用了 CloudFlare 的服务,如果开启了 Email Obfuscation ,页面里真正的 Email 地址会被隐藏,具体隐藏的代码如下:

爬虫与汽车之家的Css:Content-反爬与反反爬的奇技淫巧

大家好,我又要食言了,总盯着去哪儿挺没意思的,今天咱们先聊另外一个老朋友-汽车之家。

先上广告,土豪朋友不想写代码的,可以直接使用我们的汽车之家论坛爬虫:

汽车之家论坛采集爬虫-神箭手云

给新朋友的之前的文章列表:

爬虫被封IP了怎么办-反爬与反反爬的奇技淫巧

爬虫中的验证码识别-反爬与反反爬的奇技淫巧

爬虫中Cookie的伪造(非登录)-反爬与反反爬的奇技淫巧

爬虫与诡异的字体-反爬与反反爬的奇技淫巧

话说感觉这个系列的我起名字越来越不走心了。越写越像哈利波特的起名套路了-爬虫与混血王子。(嗯,一点都不违和)我这个爱扯犊子的性格真是很难收敛啊。

话说Css自从越来越强大之后,被很多反爬工程师看上了。上篇文章介绍的字体就需要用到Css中的font-face和font-family。这节我们通过汽车之家来看看Css在反爬中另外一个妙用-content。

本来网页上显示的字无非两种,一种就是文本,一种就是显示在图片上的。所以之前有一种常规的反爬,就是把字当做图片替换来显示,目前百度还经常喜欢这么处理,比如百度知道,百度指数(参考天坑),当然不少的电话号码和邮箱这类重要信息,依然也再沿用这个方案。

然后随着css的content兼容性越来越好之后,就又有了一个性能更好的反爬,就是用css的content来代替原来文本中的文字,辅以合适的随机生成的方法,确实也不错。算是一个性能和反爬折中的方案吧,比如我们今天要提到的 汽车之家论坛 就是采用这样一个反爬方案。

一.为什么Css:Content能反爬。

事实上任何能让原来html中文本隐藏混淆加密又不影响正常用户显示的方式都可以来做反爬,比如我们上一篇文章提到的字体方式混淆,比如我们后面要提到的JS加密。而这篇文章主要是采用Css的content属性来隐藏。

我们简单的看下content属性使用,大家可以尝试复制这段写入一个网页的Css中

div:before {
   content: "神箭手";
}

我们会发现每一个div的开头都加入的神箭手的文字,而且这些文字还是无法复制的。再加上并不像生成图片那样会严重拖慢服务器性能,所以算是一个挺折中的方案。

爬虫与诡异的字体-反爬与反反爬的奇技淫巧

本来吧,这节课准备写我自己期待很久的Javascript对抗的,但是发现上节课讲了偏技术的Cookie感觉反响一般,所以还是准备再插几节闲聊猎奇型的反爬技巧,再到最终的Javascript吧,放最后一篇文章写,不然我害怕写完那篇,就写不动了。

好了,同样前几篇文章链接:

爬虫被封IP了怎么办-反爬与反反爬的奇技淫巧

爬虫中的验证码识别-反爬与反反爬的奇技淫巧

爬虫中Cookie的伪造(非登录)-反爬与反反爬的奇技淫巧

从今天这篇文章开始,主要给大家过一些小众的反爬策略以及其中的利弊,所以一般来说都会有一个特定的示例,比如今天的反爬策略就来自反爬界大神之一的去哪儿(当然也是爬虫界的)手机版。

我们先来用chrome的手机模式开一下去哪儿的机票:

看着叫一个干净整洁,完全没毛病。但是!当我们掀开被子看源码的时候 震惊了:

不知道大家能不能看清图,我码字注解一下,显示的价格是560,而源码中的价格则是540!

我们这篇文章就来看看去哪儿手机版是怎么做到的(当然偷偷剧透下,下篇文章咱们主角还是去哪儿)

其实同学们只要智商在线,看到标题就知道,这是用字体实现,我们看右侧的css面板也可以看到,这个dom元素的字体是单独设置的。也就是去哪儿通过修改字体,让4显示成了6。

1.为什么字体可以反爬

感觉从这篇文章开始这个套路快进行不下去了。为什么字体可以反爬? 首先这个迷惑性太大,很多马虎的工程师以为可以了,直接就爬下来,当然就是被老板骂的体无完肤了,对反反爬工程师的精神可以造成1万点伤害。同时呢,去哪儿这个字体是动态生成的字体,也就是说你也不知道下一次刷出来的4到底是几显示出来的。这个道行就比较高了。

2.怎么做好字体反爬?

这种反爬策略用在数字上确实天衣无缝,非常优雅。唯一值得提的就是一点,如何动态生成字体和页面来做好对应关系。其实这是一个工程性的问题,大部分编程语言都含有生成字体的库,如果对网站整体性能比较自信的话,完全可以每次请求都动态生成,当然这样确实会比较慢,比较推荐是通过定时任务,去更新一个字体池。每次有请求过来,从字体池中随机拿一个字体,换一个随机的名字(可以通过url rewrite来实现),并和现在的数字做一次映射,调整页面显示后整体输出,就可以在尽量不影响性能的情况下搞死反反爬。

当然使用字体也是有局限的,其中最大的问题莫过于@font-face的兼容性问题,所以去哪儿只在移动端采用这个反爬策略,可能也有兼容性的考虑吧,相比之下,去哪儿的pc端的反爬写法则丑陋很多。

爬虫中Cookie的伪造(非登录)-反爬与反反爬的奇技淫巧

两篇文章下肚,各位看官感觉如何。避免新同学不知道之前的文章:

爬虫被封IP了怎么办-反爬与反反爬的奇技淫巧

爬虫中的验证码识别-反爬与反反爬的奇技淫巧

前两篇文章算是讲了最常规的两种反爬,本篇文章理论上应该说说登录,因为基本上这三个反爬套路结束之后,其他都是小众了。不过登录这个东西真的没太多可讲的,因为严格来说登录并不是反爬,只是一种保护手段,后面有时间简单说说吧。

今天咱们要聊的这位主角跟登录倒也有点关系。先来简单摘抄一段Cookie的描述:

Cookie,有时也用其复数形式Cookies,指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户本地终端上的数据(通常经过加密)。定义于 RFC2109 和 2965 中的都已废弃,最新取代的规范是 RFC6265

那简单来说Cookie就是一个浏览器上的缓存或者叫小数据库也行,在没有LocalStorage之前,我们前端工程师就只能用这破玩意当数据库使。

那现在问题来了,这玩意对反爬到底有什么帮助呢。

好了,我的经典套路又要来了,先假装介绍反爬技巧:

一.为什么Cookie能够做反爬?

这个问题远比前两篇文章里的要难回答,因为IP和验证码都是实打实的原因导致人家是反爬的上上手。但是Cookie则不然,Cookie上的反爬则更多的是纯粹人与人之间的对抗,Cookie由于是存储在客户端上导致其伪造成本极低,那为什么还有那么多的网页采用Cookie来做反爬呢?(当然很多爬虫菜鸟工程师可能都判断不出来是用Cookie在做反爬),是因为目前Javascript混淆的手段也是花样百出,任你是Javascript的高手高手高高手,我也能用恶心的招数(比如把所有代码拆成ASCII码数组,再动态拼合后eval)来怼得你不想吃饭。这也成就了Cookie反爬成为除IP和验证码这两类可见的反爬手段之后最重要的一种补充。当然具体Javascript对抗相关的内容我们下一篇文章再讲。

二.怎么做好Cookie反爬?

首先咱们得知道,常见的Cookie设置方式有两种,一种在后端设置,通过Response的Header传输到前端浏览器中,如下图:

另一种则更加隐蔽,通过前端调用document.cookie来设置,对于反爬效果来说,第二种显然比第一种效果来的好的多,起码能让反反爬工程师少陪老婆一个星期,是不是想起来都觉得很过瘾呢。当然直接调用document.cookie来设置基本是没什么效果的,一定要配合上Javascript的混淆才能熬出一锅反爬的好汤来。至于怎么混淆,我们也留到下一篇文章再讲。

三.写爬虫时发现Cookie很复杂该怎么分析?

我们公司有专门做爬虫的同事一见到复杂的Cookie就想哭,Cookie确实属于反反爬中相当难缠的对手,应该说跟Request中有一个摸不着头脑的参数值可以并驾齐驱。那我们遇到这种Cookie应该如何沉着应对呢?下面我就给大家把解题思路讲一讲,考试必考啊。

首先一定准备好Chrome,老师其他工具用的少,就不展开了。

1. 先删掉Cookie看正不正常的

第一步也是最重要的一步,千万记得先把Cookie都删掉请求一次,如果没问题,万事大吉。这里注意对于Cookie来说一定要把环境处理好,因此测试之前一定记得点开『打开新的隐身窗口』的选项。每次测试完了,打开控制界面,清空Cookie再做下一次测试。

12