您当前的位置:首页 > 电脑百科 > 站长技术 > 网站

网站反爬指南:政府网站篇

时间:2022-12-21 15:51:15  来源:今日头条  作者:业务安全专家

网络爬虫正在成为政务网站们最大的威胁之一。

随着网络安全被提升到国家层面,网站安全管理和防护日趋重要,政务网站既要确保网站信息的及时和准确,又要能应对网络恶意攻击等安全事件。目前,政务服务广泛分布在交通、社保、民政、旅游、公共安全等多个领域,数据数量大、且大多和国计民生紧密关联,涉及公民个人隐私、企业商业秘密等信息,数据开放性需求带来其附加价值高。一旦遭到攻击,后果不堪设想。

比如,2019年,最高人民法院发布的《关于“中国裁判文书网”网站建设建议的答复》提到,“大量技术公司通过爬虫系统无限制地访问非法获取裁判文书数据,造成网站负荷过大,大量正常用户请求堵塞,访问出现速度慢或部分页面无法显示等现象。”

此外,数据显示,在针对网站的攻击中,60%的攻击对象均是政务类网站,攻击方式也是花样频出,其中国内政府网站40%—60%的网络流量均来自爬虫,在提供公众查询的服务性网站业务中,这一比例甚至更高。

图源网络

黑灰产为何盯上政务网站?

网络爬虫,又被称为网页蜘蛛,网络机器人,是按照一定的规则,自动地抓取网络信息和数据的程序或者脚本。通俗点讲,网络爬虫模拟人的行为,用程序代替了人的操作,从一个链接跳转到下一个链接,就像是在网络上爬行一样遍历网页。爬虫跳转、打开、浏览等动作比人的速度快,浏览的网站的层次也更深,所以被称为网络爬虫。

顶象与中国信通院联合发布的《数字业务安全白皮书》认为,恶意网络爬取会带来数字资产损失、用户隐私泄露和扰乱业务正常运行等三大危害,并将其列为十大业务欺诈手段之一。

政务网站拥有大量的信息和数据以及需要较高的稳定性和可用性。而这类系统本身所拥有的大量信息,也成为攻击者觊觎的目标。

一方面,攻击者利用爬虫程序获取公开信息,产生大量请求,使得该政务服务网站无法响应请求,形成CC攻击,造成正常用户无法访问,或是查询服务体验下降。黑产可利用从该政务服务网站获取的信息进行对外收费查询业务,造成不良的社会影响。

另一方面,除了利用爬取数据进行牟利,更有甚者,直接挪用政府公众服务类网站所有网页及信息,进行网站克隆。克隆网站通常拥有与真实网站高度相似的域名和首页,用户一般难以辨认。然而当民众打开一个明为提供国计民生服务、实为不法平台的克隆网站,不仅会看到许多不堪入目的广告,甚至会在不知不觉中被引诱点击诈骗链接。

网络爬虫对政务网站的直接影响是,政府网站被大规模攻击后,网页打开缓慢、无法正常处理业务等问题会严重影响用户的使用。为此许多政府网站已经投入大量人力和资金,但在不断更新迭代的自动化攻击面前,改善并不明显。“爬虫攻击网站——系统宕机——用户投诉——耗资维护”这一过程似乎已经成为一种恶性循环。

如何反爬?

顶象反爬解决方案依托多年攻防对抗实战经验,提供了动态策略的精准防护;全链路纵深防护,避免“爬虫”的单点绕过;多维度防御,有效拦截各种恶意“爬虫”行为;无感的人机交互验证,有效反爬又不影响正常用户体验。

1、保障通信传输安全。黑灰产在业务通信传输的环节,可能会尝试篡改、爬取报文数据。通过对通讯链路的加密,可防止终端安全检测模块的数据被篡改和冒用。

2、加强业务安全策略防控。针对批量爬虫的风险特征,可将社交媒体中各个业务查询场景的请求接入业务安全风控系统。同时将终端采集的设备指纹信息、用户行为数据等传输给风控系统,通过在风控系统配置相应的安全防控策略,有效地对风险进行识别和拦截。

 

  • 设备终端环境检测。识别客户端(或浏览器)的设备指纹是否合法,是否存在注入、hook、模拟器等风险。通常批量作弊软件大多都存在以上风险特征。
  • 行为检测。基于设备行为进行策略布控。针对同设备高频查询,同IP高频查询,相同IP段反复高频查询的请求进行监控。
  • 名单库维护。统计基于风控历史数据,对于存在异常行为的账号、IP段进行标注,沉淀到相应的名单库。对于名单表内的数据在做策略时进行分层,适当加严管控。
  • 外部数据服务。考虑对接手机号风险评分、IP风险库、代理邮箱检测等数据服务,对于风险进行有效识别和拦截。
  •  

 

3、定期对平台、App的运行环境进行检测,对App、客户端进行安全加固,对通讯链路的加密,保障端到端全链路的安全。其次,部署基于顶象防御云、风控引擎和智能模型平台,构建多维度防御体系。

4、智能验证码。作为防御云的一部分,顶象智能验证码能够阻挡恶意爬虫盗用、盗取数据行为。并能够在注册、登录、查询时,对恶意账号、恶意爬取行为进行实时的核验、判定和拦截。

5、设备指纹。作为防御云的一部分,顶象设备指纹能够对代码注入、hook、模拟器、云手机、root、越狱等风险做到有效监控和拦截。

6、风控引擎。根据业务查询场景的请求、客户端采集的设备指纹信息、用户行为数据行为(鼠标的滑动轨迹、键盘的敲击速率、滑动验证码的滑动轨迹、速率、按钮点击等行为轨迹等),实现对恶意“爬虫”行为的有效识别,基于安全防控策略,有效地恶意爬取行为进行识别和拦截。

7、智能模型平台。基于业务、爬取风险与反爬策略变化,构建专属风控模型,实现安全策略的实时更迭,从而有效拦截各种恶意爬取风险。

免费试用业务安全产品(https://user.dingxiang-inc.com/user/register#/)

加入业务安全交流群(https://www.dingxiang-inc.com/blog/post/599)



Tags:反爬   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
网络爬虫正在成为政务网站们最大的威胁之一。随着网络安全被提升到国家层面,网站安全管理和防护日趋重要,政务网站既要确保网站信息的及时和准确,又要能应对网络恶意攻击等安全...【详细内容】
2022-12-21  Tags: 反爬  点击:(0)  评论:(0)  加入收藏
简介从上面两节实战中已经可以做一个属于自己的翻译应用了,甚至可以对翻译结果进行对比然后通过一些语意软件进行优化,这里的所有的DEMO都只是为了学习JS逆向这些技能的过程,今...【详细内容】
2022-08-03  Tags: 反爬  点击:(106)  评论:(0)  加入收藏
在使用爬虫的过程中,这些情况你是否遇到过? 没采多久就采集不到数据了采集了好半天,最后发现采集的内容与网页中的内容不一致刚开始采集的好好的,再往后采集的数据有字段竟然是...【详细内容】
2022-05-20  Tags: 反爬  点击:(152)  评论:(0)  加入收藏
开始 此网站F费与M费通道共用,搞定M费通道即可。 确立目标网址:点击进入 进入到跳转页面: ​ 可以看到出现了咱们需要的一些音乐 分析(x0) 这些音乐的源文件地址是否在咱们的网...【详细内容】
2021-08-27  Tags: 反爬  点击:(196)  评论:(0)  加入收藏
前言 将爬虫的爬取过程分为网络请求,文本获取和数据提取3个部分。 信息校验型反爬虫主要出现在网络请求阶段,这个阶段的反爬虫理念以预防为主要目的,尽可能拒绝反爬虫程序的请...【详细内容】
2021-04-20  Tags: 反爬  点击:(899)  评论:(0)  加入收藏
滑动验证是网站反爬虫、反作弊的升级,滑动验证也是机器学习在反爬虫、反作弊领域的应用; 本项目也是一个简单的全栈项目,使用tornado做的后端、Bootstrap4做的前端;核心的识别...【详细内容】
2020-06-04  Tags: 反爬  点击:(81)  评论:(0)  加入收藏
SVG反爬虫不同于字体反爬虫,它巧妙的利用css 与 svg的关系,将字符映射到网页中,看起来虽然正常,但是却抓取不到有效内容。本文带你深入浅出,破了SVG反爬虫的套路,学会之后,可应用于...【详细内容】
2020-05-12  Tags: 反爬  点击:(296)  评论:(0)  加入收藏
现在的网页代码搞得越来越复杂,除了使用vue等前端框架让开发变得容易外,主要就是为了防爬虫,所以写爬虫下的功夫就越来越多。攻和防在互相厮杀中结下孽缘却又相互提升着彼此。...【详细内容】
2020-01-17  Tags: 反爬  点击:(204)  评论:(0)  加入收藏
拉勾网这个网页的反爬机制:保持cookie与网页来源的说明,如果不加网页的来源会造成一个IP频繁的假象。为什么说是假象呢?因为当你用浏览器再次访问是可以正常访问的,自行测试即可...【详细内容】
2019-10-11  Tags: 反爬  点击:(294)  评论:(0)  加入收藏
▌简易百科推荐
网络爬虫正在成为政务网站们最大的威胁之一。随着网络安全被提升到国家层面,网站安全管理和防护日趋重要,政务网站既要确保网站信息的及时和准确,又要能应对网络恶意攻击等安全...【详细内容】
2022-12-21  业务安全专家  今日头条  Tags:反爬   点击:(0)  评论:(0)  加入收藏
“ 403 forbidden ”是一个 HTTP 状态码(HTTP STATUS CODE),它的含义非常好理解。就是:网站禁止你请求到该 URL 的内容,服务器就会返回403页面。可能出现 403 的原因是: 请求到了...【详细内容】
2022-12-13  玥信使  今日头条  Tags:403   点击:(26)  评论:(0)  加入收藏
SSL证书能够有效提升网站数据传输的安全性,已成为政府企业网站提升数据安全的标配。而国密SSL证书由于加密算法不同,安全等级更高,逐渐受到越来越多用户的信赖和认可。那么国密...【详细内容】
2022-12-10  中科三方    Tags:SSL证书   点击:(18)  评论:(0)  加入收藏
SSL证书能够实现网站数据的传输加密和身份验证,已被越来越多企业所认可和接受。而有的企业由于业务众多,存在不止一个域名,在这种情况下,如果针对每一个域名安装一个证书,不但花...【详细内容】
2022-11-30  中科三方    Tags:SSL证书   点击:(13)  评论:(0)  加入收藏
网站出现流量超标时分析及解决思路为:查看网站访问统计---->结合访问统计分析网站访问日志---->确定原因采取相应措施。一.查看网站访问统计1. 登录到虚拟主机管理面板,点击“...【详细内容】
2022-11-16  西部数码     Tags:流量超标   点击:(21)  评论:(0)  加入收藏
目前,不少制造企业都将B2B电商网站视为其数字化转型过程中必不可少的关键资产。B2B电商开发中,亲近用户在线购物习惯,优化用户体验至关重要。用户需要简明扼要的找到他们期待的...【详细内容】
2022-11-11  TMOGroup探谋网络科技  今日头条  Tags:电商网站   点击:(39)  评论:(0)  加入收藏
用浏览器访问网站时,页面各不相同,你有没有想过它为何会呈现这个样子呢?本节中,我们就来了解一下网页的组成、结构和节点等内容。网页的组成网页可以分为三大部分 —&mdash...【详细内容】
2022-11-07  slevnling  今日头条  Tags:网页   点击:(88)  评论:(0)  加入收藏
站长辅助工具是我们网站SEO过程中的辅助软件,在我们网站SEO优化时候的要用于到很多比如查询工具、排名工具、流量分析、内容优化、URL提交等软件。站长辅助工具就是根据站长...【详细内容】
2022-11-03  美新  搜狐号  Tags:辅助工具   点击:(47)  评论:(0)  加入收藏
CDN简介CDN的全称是Content Delivery Network,即内容分发网络。CDN是构建在现有网络基础之上的智能虚拟网络,依靠部署在各地的边缘服务器,通过中心平台的负载均衡、内容分发、...【详细内容】
2022-10-30  网络工程师阿龙  搜狐号  Tags:CDN   点击:(81)  评论:(0)  加入收藏
做一个外贸网站一般有哪些建设步骤?当您的网站建设步骤通过客户的认可,那么恭喜你!您可以开始动手制作网站了。但还不是真正意义上的制作,你需要进行了解详细的设计步骤:外贸网站...【详细内容】
2022-10-30  张皓天  搜狐号  Tags:外贸网站   点击:(46)  评论:(0)  加入收藏
站内最新
站内热门
站内头条