这是一个专门讨论 idea 的地方。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
每个人的时间,资源是有限的,有的时候你或许能够想到很多 idea,但是由于现实的限制,却并不是所有的 idea 都能够成为现实。
那这个时候,不妨可以把那些 idea 分享出来,启发别人。
这是一个创建于 2773 天前的主题,其中的信息可能已经有所发展或是发生改变。
如果,在网站的页面里随机插入坏链接,或在检测到是爬虫时,返回无限大响应的请求,比如发送无限大的永不结束的 http header ,或用 chunked 编码返回无限的大压缩率数据来直接撑暴对方服务器内存。
据我所知,现在的 http 库都没有处理这种情况,比如 python 的 urllib3/requests/pyCURL 等。
下面随手写的一个小程序来模拟一个无限大响应,我的爬虫处理不了这种情况啊!如果有人想这样干我我一点办法都没有的!(这里还没用压缩数据,一用的话内存马上就暴了)
有谁知道有处理这类情况的库?
爬虫代码:
import requests
r=requests.get('http://localhost:8888', timeout=20)
程序:
#!/usr/bin/env python2
import socket
from time import sleep
host = ''
port = 8888
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.setsockopt(socket.SOL_SOCKET, socket.SO_REUSEADDR, 1)
s.bind((host, port))
s.listen(1)
conn, addr = s.accept()
print 'Connected by', addr
data = conn.recv(4096)
print data
headers = [
'HTTP/1.1 200 OK',
'Server: FuckingServer',
'Content-Type: text/plain',
'Transfer-Encoding: chunked',
]
conn.send('\r\n'.join(headers))
conn.send('\r\n\r\n')
data = '5\r\nFuck!\r\n2\r\n\r\n\r\n'*10000
end = '0\r\n\r\n'
while True:
conn.send(data)
sleep(1)
print '.'
conn.close()
 |
1
windfarer 2016-09-15 16:18:39 +08:00
多来这么几个爬虫,你自己服务器就先爆了
|
 |
2
doubleflower OP @windfarer 为什么?压缩数据啊,一点点流量就爆了对方内存。
|
 |
3
mdzz 2016-09-15 16:36:33 +08:00
reference: https://en.wikipedia.org/wiki/Zip_bomb
|
 |
4
choury 2016-09-15 16:38:49 +08:00 via Android  1
为什么你写的爬虫会被识别出来,要是能识别出来我直接给你返回 403 不是更好?
|
 |
5
jackon 2016-09-15 16:39:01 +08:00 via iPhone
只是你自己的爬虫太弱而已
|
 |
6
binux 2016-09-15 16:43:03 +08:00 1
|
|
7
doubleflower OP @choury 那样对方完全没有受到伤害啊,比如各种新闻客户端爬盗版文章的,你发现它频率太高不象真人就给它 403 它转头去爬别人家回来再爬你,而一爬直接爆了的话对方就很难受了
|
 |
8
greatghoul 2016-09-15 16:48:26 +08:00 3
> 在网站的页面里随机插入坏链接
牺牲用户体验 > 或在检测到是爬虫时,返回无限大响应的请求 一般写爬虫超时,或者超量,就有机制自动 kill 掉了 最寂寞的就是写了一堆反爬虫的策略,发现都没有生效过,没人来爬。。。 |
|
9
doubleflower OP @greatghoul 不可见链接,有什么问题? 说说容易,请问你用什么机制自动 kill?
|
 |
10
imn1 2016-09-15 17:15:48 +08:00
我收 chunk 超过一定字节就 close ,并记录,因为超出我的预期的字节数上限,我认为肯定某个环节出问题,根本还不到 unzip 这个步骤
|
 |
11
maomaomao001 2016-09-15 17:15:54 +08:00 via Android
怎么检测是爬虫还是正常用户?
|
 |
12
DesignerSkyline 2016-09-15 17:22:19 +08:00 via iPad
@greatghoul 犀利
|
|
13
greatghoul 2016-09-15 17:29:52 +08:00 1
kill 掉爬虫非常简单呀
https://gist.github.com/greatghoul/7352ba71134cf9079eb5e049c235cd64 楼主你写的爬虫太烂了。。 另外你的链接不可见,总要写在源码里面吧,人家分析你网站的时候要是觉察不出来那还写的什么爬虫,就算你随机返回,人家爬虫多测试几次就知道了,针对你的伎俩,分分钟就有应对策略了。 还什么超大响应,你不知道有 chunk 和 stream 这种东西吗?你以为那些抓取电影资源的爬虫都是把整部电影读进内存里面吗? |
|
14
doubleflower OP @maomaomao001 在文章列表里随机插一个被 css 隐藏起来的文章连接,用 css :nth-child 之类的技术设置不可见,普通用户不可能点的,爬虫不会分析 css 会爬去这个文章。
|
|
15
greatghoul 2016-09-15 17:45:30 +08:00 via iPhone
@doubleflower 你这规则也太简单了
|
|
16
doubleflower OP @greatghoul
那处理无限 header 呢?这总不能 stream 了吧。 ``` conn.send('\r\n'.join(headers)) conn.send('\r\n') data = 'aaa: ' + 'bbb' * 1000 + '\r\n' while True: conn.send(data) sleep(1) print '.' conn.close() ``` |
|
17
greatghoul 2016-09-15 17:56:07 +08:00
@doubleflower 那处理无限 header 呢?这总不能 stream 了吧。
都不用处理 httplib.IncompleteRead: IncompleteRead(0 bytes read) curl 都会很快中断,还别说专门写爬虫了。 |
 |
18
laoyur 2016-09-15 17:57:46 +08:00 1
然后误伤一大片吃瓜群众,领导直接让你背锅
|
|
19
greatghoul 2016-09-15 18:03:26 +08:00
现在很多网站都是 js 动态渲染的,传统的发 request 的爬虫根本占不到 90.99999%,现在好多爬虫都是直接跑的 phantomjs ,还有跑在 Chrome Extension 上面的,那些弱鸡的规则压根不顶用,甚至还有直接截屏 ocr 的。。。
楼主你还停留在上个时代。 |
 |
20
goodman001 2016-09-15 18:09:22 +08:00 via iPhone
@greatghoul 💪🏻💪🏻💪🏻精辟
|
 |
21
imcocc 2016-09-15 18:11:48 +08:00 via iPhone 1
楼主不知道七伤拳 伤人先伤己吗
|
 |
22
Troevil 2016-09-15 18:23:26 +08:00
爬虫会控制深度吧 不可能无限循环下去的吧
|
 |
23
thinks 2016-09-15 21:04:30 +08:00 via Android
@greatghoul 确实很寂寞,和我写防火墙策略一样了,结果一年过去了连条深层一点的端口扫描纪录都没有…
|
 |
24
wangxiaoer 2016-09-15 21:24:20 +08:00 1
笑死了,你这个杀敌一万,自损八千啊,你服务端维持那么多长连接你扛得住?再说了,定向爬取都特么要到源码分析抓取地址的啊?你这种小伎俩分分钟过滤掉啊
|
 |
25
est 2016-09-15 21:47:05 +08:00 1
都没我的策略淫荡。。。判断是爬虫就随机插入脏数据。。。。。
比如电商。。就随机返回价格。。。让你们爬。 管够。 |
 |
26
scnace 2016-09-15 23:09:39 +08:00 via Android
@greatghoul 截屏 ocr 有 demo 吗?好像看看🐸🐸
|
 |
28
veelog 2016-09-16 15:51:41 +08:00 via Android
你们这样做有考虑过浏览器的感受吗??除非你能识别是浏览器请求还是爬虫请求
|
 |
29
ty89 2016-09-20 18:42:23 +08:00
满桶水不响,半桶水响叮当
|
|
30
doubleflower OP @ty89 DSB
|
 |
32
tsungkang 2016-09-22 18:03:37 +08:00
写了半年多爬虫的半桶水路过,其实只要是你用浏览器能访问到的一切东西,都能用爬虫来爬,干翻爬虫其实不用这么麻烦,一个牛逼的验证码,或者要求注册帐号,一下子就没辙了。
个人不建议去搞一些可能会牺牲用户体验的设计,之前爬过一个某机构的站(不止我们,还有很多人也在爬他们,我也不想去爬,只是领导安排而已),后来貌似对方知道了,一气之下加了一些判断,有时候故意卡个 1 、 2 分钟,写的爬虫倒是 30 秒搞不定就放弃换 ip 了,反而我用浏览器正常访问,有时候也被卡,严重影响用户体验。 |
 |
33
yanzixuan 2016-09-28 17:49:47 +08:00
@greatghoul 真相了。
最大的笑话就是程序员不光找不到女朋友,就连爬虫都对你没兴趣。。。 |
|
34
yanzixuan 2016-09-28 17:52:02 +08:00
@greatghoul 弱问, phatomjs 的 eval 是沙盒,开多个但载入网页也是独立的么?
|
|
35
greatghoul 2016-09-28 21:35:25 +08:00
@yanzixuan 这个真没有研究过,以后用 firefox 作浏览器的时候,是可以多开的,彼此也可以隔离, phantomjs 应该也能做到彼此独立吧。
|
 |
36
Technetiumer 2016-09-29 12:24:42 +08:00
Slowloris ?
|
 |
37
lyz8 2016-09-30 22:05:13 +08:00
写爬虫都是设置 5 秒超时的
|
 |
38
pyufftj 2016-10-02 20:48:48 +08:00
这样对网站的 seo 也是很不好的,毕竟 google 之流才是最大的爬虫
|
 |
39
dongfang 2016-10-04 18:13:45 +08:00
|
 |
40
good758 2017-12-22 11:06:54 +08:00
然后 百度谷歌也不喜欢了。
|
Select Language