cloak斗篷系统的前世今生以及优缺点分析
2023年是后疫情时代的新起点。对于广告投放或独家产品运营的团队来说,规避非正常访客的访问是必须要面对的问题。在这种情况下,需要一个针对访客的管理系统来管理他们。早期开发这些软件的开拓者为了使其听起来更神秘,使用了cloak这个英文名称,中文意思是“斗篷”。但我更喜欢称之为访客管理系统,这样更贴切易懂。
Cloak已经成为出海营销行业的必备工具之一。尽管使用Cloak并不能保证一定有效,但长期来看不使用Cloak是不可行的。
Cloak系统既有国外的,也有国内的,其中知名的也只有几个。但是由于很多人对这方面的了解比较有限,本文将对整个Cloak系统以及访客访问的流程进行梳理和概述,以便让大家了解什么样的Cloak系统最适合且最可靠,从而避免被割韭菜的悲剧发生。
第一代:
早期第一代的斗篷系统,主要是通过JavaScript(简称JS)技术,部署在前端来实现的,在其后台创建完规则后,生成一段JS代码,然后粘贴到使用者网站上。范例如下:
<script src="https://www.demo.com/visit/123456.js"></script>
它对接及其简单,简单的就像添加网站统计代码一样。访客打开你的网站后,再加载这段JS代码,JS通过判断访客的来路、语言、访问路径和其他一些参数,提交到cloak系统,与之前设定的规则进行对比,从而来进行拦截和放行的。
后来出现了一个看起来比较高大上的指纹技术,但实际也是通过JS与浏览器交互,来获取访客以及浏览器的各种参数,比如audio,canvas,colorDepth,deviceMemory,fonts,languages,timezone等。
Github开源地址:https://github.com/fingerprintjs/fingerprintjs
第一代的cloak弊端非常明显,我大概列出来几点:
1.如果用户在其浏览器中禁用了JS、安装了插件来禁用脚本或通过GET/POST访问取得HTML源码,那么此方法就立刻失效了,根本无法规避广告审核、巡查爬虫和恶意蜘蛛等问题。
2.当用户访问网站时,页面会尝试加载JS文件。如果网络速度较慢,则用户可能会在JS文件加载之前看到原始网站的内容。但是,一旦JS文件成功加载并运行,它将改变页面的行为和外观。无论用户何时加载完成,JS文件总会对页面产生影响。
3.如果访客是同行或者是具备一定专业知识的人,他们可以通过右键查看网站源码或在浏览器中输入 view-source:+域名 来查看网页的全部HTML代码。
但是对于蜘蛛爬虫、恶意请求库、漏洞扫描器、广告审核或巡查爬虫等访问工具,它们不是直接通过浏览器访问网站的,而是进行GET/POST请求,只获取到网页的HTML源代码,而无法执行HTML中引用的任何文件(如js、css和图片等),这时候JS部署方式的cloak就失效了。
然而,不能否认JS方式在早期部署时比较流行,因为几乎适用于任何WEB网站上。由于一些SAAS网店系统,如Shopify和Shopyy等无法控制编辑源码,也只能使用这种方式(第二代可使用AB跳转方式)。但目前极容易被检测出来,基本没什么人使用了。
尽管这种方式有优点,但其执行环境离不开浏览器的支撑,没有浏览器,这种使用JS在前端层面部署的cloak就毫无作用,用这种方式拦截同行以及规避广告等,最终也是掩耳盗铃。
然而,这种方式仍是国内外某些cloak的主要做法,尤其是国外的cloak系统,在国内也被一些不明觉厉的团队奉为神器。当然,从整体来看,国外技术确实比国内强大很多,毕竟我们还生产不出4纳米CPU。但在某些民用和小众领域,由于国外政策和法律的因素,他们要想实现某些事情会遇到很大阻力,而这正是国内领先于国外的原因之一。
近来有些流行的指纹浏览器,实际上是通过使用开源的Chromium(https://github.com/chromium/chromium)定制自己的浏览器,并操控audio、canvas、colorDepth、deviceMemory、fonts、languages、timezone等浏览器参数,实现生成不同的指纹信息。但也还是JS指纹,而是TLS指纹(JA3指纹)指纹。
第二代:
第二代cloak技术采用服务端与服务端之间的通信技术,即API接口方式。通过在独立站上的服务端代码(如PHP、JAVA和Python等语言),调用cloak系统的API接口来实现,可以有效地处理网站的每个请求。相比于使用JS的方式,这种技术层面上是无法被检测到的,从而避免了可能产生的尴尬境地。
说了这么多,到底cloak斗篷系统是怎么运行的?我们现在先看一个流程图:
当访客访问您的网站时,cloak插件会自动将访客的请求参数通过API接口发送到cloak系统的远程服务器上。随后,cloak系统会将这些参数与您在cloak后台预设的规则进行对比,并将对比结果返回给您。当您获得返回结果后,就可以知道这个访客是否符合您的预设规则,从而对其进行进一步处理。听起来非常繁琐,实际上整个过程都是由cloak插件来完成的,您只需要配置好cloak即可。如果您有自己的一些手法,可以自行处理API返回的结果。
从整体上看,这种方式应该是目前最好的方式,但是也存在诸多问题。
API服务的稳定性
大部分使用此技术的cloak系统采用PHP语言开发。虽然PHP是一门强大的编程语言,但其学习门槛较低,导致开发人员技术参差不齐。当大量独立站通过API请求cloak服务器时,如果开发团队没有经验丰富的专业人才,那么其系统的性能就可能受到影响,高并发和高可用性就更难以保证。相对于PHP,其他语言如JAVA、GOLANG等则在开发高并发、高稳定和高可用性的系统方面拥有更完整和规范的生态环境,因此更适合开发高质量的系统。尽管PHP有其优点,但在这方面,其他语言的优势更为明显。
实际价值和产品价值可能不匹配
从商业角度来说,只要一个产品能够创造利润,它的价格就不算贵。但是对于一些起步阶段的团队来说,他们的支出需要精打细算。如果每个月总计3-5万请求量,那么每天平均只有1500个请求量左右。实际独立访客数量也只有大约300人左右。此外,考虑到蜘蛛爬虫等非正常访客的影响,每天可用请求量更少了。
然而,这些cloak系统每个月的费用却高达上千元。这种情况可能是由于这些cloak系统性能不佳,无法支撑大规模的请求。另外,也有可能是故意提高产品价格以获取更多的利润。如果每天有3-5万的请求量,且价格低于千元,那么肯定更加具有性价比。
自建数据库的持有量和准确率
由于前端JS部署方式的被淘汰,很多浏览器参数无法通过服务端(后端)程序获取,这使得服务端获取到的访客参数变得尤为重要,同时也需要保证识别率非常高。其中,客户端IP地址是需要特别关注的信息。鉴于IP地址的不稳定性,后端代码需要提取并整理机房、代理、爬虫、ASN、黑白名单等子参数,并建立一套精准的并能经常维护的IP数据库。如果这套数据库存在很大的误差,那么获取访客IP资产信息就会有很大的出入,从而导致cloak功能的失效。
1 | 假如访客使用了苹果iCloud私人中继服务,如果cloak系统没有建立对应的IP段数据库,那么这个IP地址可能会被错误识别为机房或代理,导致其被cloak拦截,从而丢失了这个优质访客。(iCloud私人中继服务是苹果提供的收费VPN服务,其租赁第三方ISP服务商的机房。实际代理地址和访客真实地址基本在一个省或市,这并不会影响大数据分析,主要是为了保护用户的真实IP地址)因此,建立一套完善的IP段数据库非常重要,可以避免因未能准确识别访客IP地址而导致的误判和信息丢失。 |
2 | 对于伪造UserAgent的访客,如果没有自建一个爬虫IP数据库,那么只依靠UserAgent来判断是否为爬虫是不够安全的。这是因为爬虫可以伪造UserAgent来绕过检测,从而欺骗服务端程序。因此,在进行爬虫识别时,除了依赖UserAgent,还需要对访客IP进行二次校验。自建一个爬虫IP数据库,可以将常见的爬虫IP进行整理和分类,以便进行二次校验。这样可以更加精准地识别恶意爬虫,并避免它们绕过cloak进入网站。 |
IP地区数据库的准确性非常重要,因为并不是所有IP数据库都能提供高度准确的信息。例如,国外的iP2location Lite和国内的纯真IP库(只支持IPv4)都存在一定的不准确性。商业IP数据库比如MaxMind商业版、ip2location商业版以及国内的IPIP.NET等,具有更高的精度。另外,一些cloak系统并不支持IPv6,但实际上IPv6在一些发达国家的使用量已经超过了IPv4。因此,如果访客是通过IPv6访问,这个cloak将无法对其进行任何处理。
对于网络安全来说,机房IP数据库也是非常重要的。因为绝大部分的爬虫、广告审核、恶意攻击等行为都是采用服务器或云主机进行操作的,这些IP地址往往属于机房范围。为了更加精准地识别和防范这些行为,自建和经常维护机房IP数据库是必不可少的。
对于代理IP的识别,这些IP通常是由同行或攻击者伪造的。他们试图欺骗Cloak系统来访问你的网站,通过伪造访客的国家或地区IP来突破Cloak系统的拦截。因此,拥有代理IP识别数据库是必不可少的,只有这样才能提高Cloak系统的安全性和鲁棒性。
另一个重要的方面是建立一套精准识别访客设备的数据库。它包括访客使用的手机型号,如苹果手机或安卓手机,以及手机的品牌。还要确定他们是通过手机上的应用程序还是浏览器来访问网站的。如果是通过应用程序访问,需要确定是TikTok还是Facebook等应用程序;如果是通过浏览器访问,则需要知道他们使用的是Chrome还是Safari浏览器等。
还有很多参数,比如请求网址,来路,访客语言,时区等等,就不再一一介绍了。
功能简陋和灵活性欠佳
简单有时很美好,但过于简陋也会带来问题。某些cloak系统功能相对简陋,灵活性亟需改进。例如,管理页面只是一个表单,需要逐一处理多个域名的规则修改,不太方便,同时也增加了维护成本。此外,请求域名、路径和来源的规则判断及跳转只有一条规则,无法满足多种情况。以及当前的流行AB跳转等手法难以实现,灵活性欠佳。此外,在业务站上增加登录和设置表单,也会带来安全风险。
因此推荐采用服务端的云端管理方式,可以极大提高操作效率,节省时间和人力成本。能够快速编写和修改复杂规则,并显著降低维护成本。云端管理方式还可以更好地支持多种规则判断和跳转的需求,实现更灵活的应用场景。同时也能够避免在业务站上增加登录和设置表单所带来的安全风险。这种处理方式是非常主流和必要的。
安装到独立站的插件被加密
通过API方式访问独立站时,需要在该站点上安装cloak系统的API请求文件(也称为cloak插件),然而,这些插件经过加密处理,这让人有点担心。对于跨境行业中的敏感性和保密性来说,这种加密做法就像是一个隐形炸弹,因为你无法确定源码到底执行了哪些操作,所以这样的风险需要引起关注。虽然说的有点杞人忧天且大部分cloak系统都不会这么干,但是哪个独立站容易?不都是广告费一美金一美金的砸出来的?虽然很多cloak系统提供了开放的API接口以及对接文档,但能够自己对接的团队数量非常少。即使有技术实力强的团队,也需要投入大量的时间和人力资源来进行测试。
过分的夸大其词,功能弄虚作假
由于API是运行在服务器端的,因此它只能获取到客户端参数的一小部分。然而,有些Cloak系统声称使用最新的硬件指纹识别技术,这种说法显然言过其实,只是为了忽悠那些不明觉厉的小伙伴。实际上,硬件指纹识别技术十分复杂,是需要借助于客户端脚本(JS和浏览器交互)才能完成的,服务端代码并不能直接获取到这些信息。
此外,远程更新Cloak系统的代码也是一件危险的事情。如果更新的代码中存在漏洞或后门,那么攻击者就可以通过这个漏洞或后门来攻击你的网络,进而造成严重的安全问题。因此,在选择cloak系统时,要注意避免被夸张的销售宣传所误导,应审慎评估cloak系统的优劣,确保其能够满足我们的需求并提供可靠的服务。
有人可能会提出疑问,认为一些cloak系统提供的PHP插件中镶嵌了JS代码用于获取硬件信息,那么,这种做法是否又本末倒置了,又回到第一代的做法上了?
说到这里,也许很多人认为目前市面上的cloak斗篷系统都不太符合自己的需求,没有找到满意的产品。但实际上,现在仍然有很多好的cloak系统可供选择,只是被一些先入为主的厂商所占据了市场,导致许多用户没有机会接触到更优质的cloak斗篷系统。全球程序员数量虽多,但缺乏营销手段。在如今这个快节奏的时代,许多人都忙于赚钱,而没有充分评估某个cloak是否真正符合自己的需求。往往购买后才发现不满意,浪费了大量金钱。
今天我想向大家介绍一款非常棒的Cloak系统,并分享一下它的功能。目前,这个系统可以很好地满足我的需求。
圣盾防御访客管理系统是第二代的cloak斗篷系统,它使用强大的实时IP数据库来保护客户的网站免受无效流量攻击。该数据库包括跨境电商、蜘蛛爬虫、iCloud代理、网络代理和机房主机等专用数据库,系统采用与各大银行、支付宝、京东等大型系统一致的Java语言开发。相比于低性能语言,Java语言更强悍,具有多线程特性,可以轻松处理突发大流量并保证网络无阻塞与稳定。 并且有强大且简单的云管理后台,根据访客日志,可实时修改规则。
最主要的是可以免费试用!免费试用!免费试用!
零技术要求 · 免费对接方案
免费提供OpenCart、ZenCart、WordPress、Magento等无加密开源的快速集成解决方案,10分钟包对接完成。支持安全页、404页面和单域多库等多种手法。
傻瓜式界面 · 操作说明详细
傻瓜式管理界面,每个操作均有详细说明备注,还录制了大量视频资料和教程,让你简简单单的使用,明明白白添加规则。
开放API接口 · 支持多种语言
免费开放API接口,提供详细的开发文档。可供PHP、JAVA、.NET、Python、JavaScript等多种开发语言调用,从而实现自己处理手法。
真实八大真实功能,强势保驾护航,拒绝虚假宣传!
网址 & 来路
对请求域名、访问页面和访客来路有精细化的设定,AB站跳转必备,并可添加允许和排除规则,处理起来更加游刃有余。
IP黑白名单
首家支持IPv4和IPv6的系统。当今移动互联网用户占据70%的流量,更多的是被分配IPv6,比其他的系统更能胜任。
蜘蛛爬虫
可识别400+的爬虫蜘蛛和50+的第三方请求库。并维护常见搜索引擎IP数据库,让拦截恶意请求和网站SEO优化两不误。
网络安全
独家支持苹果系统的iCloud专用代理的检测和判断,让高端用户畅通无阻的访问;各种网络代理、机房和移动网络的判断检测。
国家区域
首家可拦截全球省州级别的系统。实时的IPv4和IPv6数据库,精准判断访客所属地区,不放行一个非设定区域访客。
设备系统
首家可检测和判断设备品牌、设备类型、操作系统、客户端类型和名称的系统。是什么手机用了什么APP或浏览器访问,一目了然。
访客语言
可检测和判断用户的所有语言列表。首选语言是否被允许,是否包含了被排除的语言,让试图伪装成正常访客的同行,寸步难行。
自治系统号
独家核弹级规则,可对某个网络服务商或商业公司的ASN实施强制封锁,让其管理的任何IP均被管控,拦截数量IPv4千万级,IPv6百万亿级。
放几张后台截图:
如果需要和了解cloak斗篷系统,或者在跨境建站上有任何问题,请添加微信(sdfangyu)或访问官网:https://www.fangyu.io/