【过于硬核慎入】这是我遇到过的最强反爬虫(反反爬虫教程)

最新推荐文章于 2024-05-12 16:41:41 发布
最新推荐文章于 2024-05-12 16:41:41 发布
阅读量2.2k 收藏 21
点赞数 3
分类专栏: 爬虫 文章标签: javascript 爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_55030384/article/details/117872938
版权

我的博客,欢迎进来看看~_(:з」∠)_

https://www.passkou.com/

阅读本文前

在阅读本文前,你需要具有以下所有知识,否则你无法读懂:

  • HTML + JS 基础
  • HTTP 基本知识
  • 简单的密码学知识(MD5、AES)
  • 浏览器调试工具使用
  • 高中英语以上水平
  • 强记忆力
  • 强逻辑思维能力

你会学到什么

在阅读本文后,你会学到一些常见的反爬虫方式,以及如何阅读被混淆后的 JS 代码。

免责声明

本文仅供学习研究使用,请勿将此技术用于违法用途。

起因

我从某个视频网站(会引起版权争议故不透露地址)上,想把他的视频下载下来,然后发现事情并没那么简单,于是就开始了长达 6 个小时的逆向研究。

目标网站情况

目标网站是调用了第三方 API 来获取解析后的某视频平台播放地址,该第三方 API 使用了多重反爬虫机制,逆向难度非常大。

分析

一、打开控制台,无限 debugger(难度 ★)

在这个网站,你无法使用鼠标右键,可以按下 F12 打开控制台,但是当控制台打开后,就进入了无限 debugger 状况:

image-20210612181244925

对于这种反爬虫手段,有两种解决方法:第一种是关闭断点功能:

image-20210612181341445

但是对于后续的步骤,需要进行断点调试,故此方法不可行。第二种方法是设置条件断点,即在该无限 debugger 处设置不进行暂停:

image-20210612181537341

但是,在 Firefox 浏览器中,似乎对于这种有无限 debugger 的情况,非常容易直接卡死,于是我尝试 Chrome,它不会卡死,但是无法设置不暂停断点,最后我无奈尝试 Edge ,发现居然完美解决了上述一切问题(微软还是 NB)。因此,建议全程使用 Edge 进行调试:

image-20210612182230845

二、请求分析(难度 ★★)

接下来是对请求进行分析,当视频加载出来能播放后,停止记录请求,从后往前看如下:

image-20210612182614433

红框部分便是视频流,后缀名为 .ts ,这是 TS 格式的分段视频流,因此,如果我们想要下载完整的视频,就需要找到所有的视频地址。

我们继续向前分析,发现了这个请求:

image-20210612182812312

显然,这个就是所有视频地址的列表,我们着重分析这项请求。

首先查看他的请求报文:

image-20210612182950004

它的参数太多了,而且大部分含义十分难理解,可以推测整串 URL 可能是通过某种方式(请求、嵌入页面)直接获得的,我们继续向前寻找:

image-20210612183227849

我们在他的前面几个请求,找到了这条请求,响应体有 url 字段,但是可能是经过加密无法直接读懂,这个暂时没关系,我们看看它的请求参数:

image-20210612183352792

image-20210612183419266

看来,这个请求可以作为我们分析的起点,只要得出它的每个参数的来源即可。

三、Iframe & Referer(难度 ★★)

我们查看上一步骤最后那个请求的调用栈:

image-20210612183936877

这里,我们找到了发起这个请求的页面来源,但是和当前页面的 URL 不一致,经过审查元素,发现当前页面是使用了 iframe 嵌套了其他页面:

image-20210612184150690

他居然嵌套了四层 iframe,最底下那层没有任何内容,所以可以忽略,因此,我们可以从第三层的入手,这也与前面请求的调用栈显示的一致。

从他的 URL 来看,后面跟了个请求参数 url ,参数值是某视频网站的视频播放页,这个非常简单易懂。我们使用浏览器直接打开这个 URL,但是显示了 404 Not Found:

image-20210612184506332

不要被状态码迷惑了,服务器是可以返回任意状态码的。比如,你在 GitHub 上有个私人仓库,当你自己访问这个仓库的 URL 时,会显示仓库的内容,但是如果是没有权限的人访问,也会显示 404。

这样做的好处是,如果按照规范返回状态码 401 或者 403,会有暗示说虽然你不能访问到内容,但是说明这个东西是存在的。因此,用户访问没有权限的页面返回 404 也是对隐私的一种保护。

回到正题,为什么会发生明明写在 iframe 上有内容,浏览器直接打开就 404 了呢?

原因很简单,这是反爬虫最基本的操作,即 Referer 标头检测。这是一个请求头,定义该请求的来源,比如,我在 http://a.com/ 网站,向 http://b.com/ 发出请求,按照默认值,Referer 标头会被浏览器自动设置为 http://a.com/,当然你也可以选择不发送,但这个不在这篇文章的讨论范围之内。

另外注意一下,Referer 头名字实际上是当初制定规范时的一个拼写错误,为了不影响后续的兼容性,只好将错就错,正确拼法为 Referrer

那么,如果直接浏览器输入 URL 访问 http://b.com/,Referer 头会被设置为空,即不会被发送。

回到正题,该请求是通过 iframe 发送的,不存在手动设置其他请求头的可能,因此,只剩下 Referer 头的可能性。为了后面方便调试,我们需要安装一个能自由设置 Referer 头的浏览器插件,Edge 里面这个插件叫《Referer Manager》,FireFox 和 Chrome 里面叫《Referer Control》。

装好插件后,我们进入插件页面,将 Referer 设置为自身(不含参数)。

image-20210612185921437

我们再次刷新页面,如果设置成功,会发现已经能正常加载出页面来了,和最开始那个页面上面看到的一样。这样,我们的问题就被简化在处理这个页面上了:

image-20210612190126361

我们再次查看网络请求记录,和之前的也是一样的:

image-20210612190359870

但是,我们在当前页面还发现了一个 iframe:

image-20210612191220223

同样的,我们为该 url 配置好 Referer 头,然后浏览器直接打开。但是,这次 Referer 头不能设置为自己(jx.sigujx.com),需要设置为上一页面的 URL(api.sigujx.com),不然会被跳转回 api.sigujx.com。

四、寻找请求参数来源(难度 ★★★★★)

这是本篇最难的,也是我迄今为止见过最麻烦的反爬虫。

还是之前那个请求(sigu_jx.php),我们点击最后一个 “(anonymous)”,找到他的调用位置。image-20210612190710953

最低0.47元/天 解锁文章
摸鱼Script
关注
  • 3
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Python分布式爬虫与逆向进阶实战-视频教程网盘链接提取码下载.txt
09-07
本课程从 0 到 1 构建完整的爬虫知识体系,精选 20 + 案例,可接单级项目,应用热门爬虫框架 Scrapy、Selenium、多种验证码识别技术,JS 逆向破解层层突破反爬,带你从容抓取主流网站数据,掌握爬虫工程师硬核技能。...
如何绕过:浏览器调试的时候进入Paused in debugger的状态
热门推荐
jixn的博客
09-17 1万+
爬虫的时候,需要打开开发者模式,来进行调试,不过有一些网站在调试的时候会进入Paused in debugger的状态,让你无法调试,这是网站的一种反爬,不 过我们也可以轻松的绕过它 目标网站:https://www.hkbchina.com/pcweb/othermain.html?id=8&y7bRbP=qvcSrqchPgXhPgXhPapsKu8W2NPTnQtqbupLh32...
爬虫类Chrome去除前端无限debugger调试(轻松分析算法)
宝明Q:8685066的博客
11-26 1万+
实际问题与需求 想对网站进行爬虫操作或分析算法时,打开F12和往常不同的是,浏览器自动断点,导致无法正常分析js,如图可知,浏览debugger处于暂停状态,这是前端浏对非授权调试者在debug时造成干扰,在一定程度上保护前端代码这种情况比较无奈,本文说下自己解决的两个方法吧! 本文涉及工具:浏览器,fiddler 演示登陆的地址:https://m.eyee.com/login (后期网站如有变...
Python爬虫从入门到精通(八)反爬及应对反爬的策略_python怎么解决反爬
最新发布
m0_60707708的博客
05-12 503
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照下面的知识点去找对应的学习资源,保证自己学得较为全面。观看全面零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。工具都帮大家整理好了,安装就可直接上手!
【Python3爬虫】突破反爬之应对前端调试手段
终极冥帝
01-08 917
一、前言搜书 https://shupu.org/   在我们爬取某些网站的时候,会想要打开 DevTools 查看元素或者抓包分析,但按下 F12 的时候,却出现了下面这一幕:      此时网页暂停加载,自动跳转到 Source 页面并打开了一个 JS 文件,在右侧可以看到 “Debugger paused”,在 Call Stack 中还有一些调用信息,如下图:      对于...
selenium远程调试chrome绕过反爬机制
weixin_43906500的博客
04-23 1977
前言:部分网站通过检测selenium指纹来识别爬虫,为了抵抗反爬机制考虑通过selenium远程调试绕过反爬 1.开始chrome远程调试 使用命令开始chrome远程调试端口 chrome --remote-debugging-port=9222 运行后打开chrome,执行python代码 from selenium import webdriver chrome_options = webdriver.ChromeOptions() chrome_options.add_experi
反爬虫之利用chrome的debug模式破解不允许selenium模拟的网站
weixin_43168278的博客
10-20 937
首先说明下这样做的好处:就是你不用验证登陆状态,可以先登陆,再爬虫 1.先打开windows cmd 进入chrome安装目录,一般在C:\Program Files (x86)\Google\Chrome\Application下,然后运行 chrome.exe --remote-debugging-port=9222 --user-data-dir=“C:\selenum\AutomationProfile” 就打开了一个chrome浏览器,后面就是操作这个浏览器了,你可以先登陆,然后cookie,to
反爬虫某超级难破解网站心得汇总
qq_21941317的博客
06-01 294
记录一次异常艰难的反爬之旅程
已解决selenium框架接管已经打开的谷歌浏览器(Python反反教程,亲测有效)
努力让自己发光,对的人才能迎着光而来
03-17 1万+
已解决selenium框架接管已经打开的谷歌浏览器(Python反反教程,亲测有效)
ILSpy .Net框架编译工具最新版本
03-28
在.NET开发领域,编译工具对于开发者来说至关重要,它们能够帮助我们查看并理解已编译的.NET程序集中的内部工作原理,这对于代码学习、调试、逆向工程以及软件分析具有极大的价值。 ILSpy的主要功能包括: 1. **...
Python分布式爬虫与逆向进阶实战
05-01
随着课程的深入,学员将学习到 JavaScript (JS) 逆向工程的技术,这是破解复杂网站反爬虫策略的关键。我们将一步步揭示如何分析和绕过网站反爬机制,从而有效地抓取所需的数据。课程的实战项目不仅能够帮助学员...
Python爬虫开发入门
06-30
python爬虫工程师人才猛增,本课程专为爬虫工程师打造,本课程是爬虫工程师的入门阶段,了解爬虫的领域,能做什么,爬虫原理,抓包工具的调教使用,每一个爬虫都会涉及到抓包,属于爬虫工程师的必备硬核技能,带你...
windows安装硬核教程知识.docx
12-08
总的来说,这个硬核教程详细介绍了在Windows上通过VMware安装Mac OS和U盘安装Windows 10的全过程,包括每一步可能遇到的问题和解决方法,对想要双系统或熟悉虚拟机操作的用户非常有帮助。只要按照教程步骤操作,即使...
解决项目使用了反爬(调试无限debugger)浏览器无法调试的问题
weixin_50418353的博客
05-30 1607
常见的形式 :// 1(function() {var a = new Date(); debugger; return new Date() - a > 100;}()) // 2setInterval(function (){debugger;},1000);
爬虫--09:反爬机制
Rhymeplot__JDQS的博客
06-12 885
Crawler--09: Anti-Crawling-Mechanismus一、ua反爬二、IP反爬1、相关网址2、ip反爬三级目录 一、ua反爬 爬虫中非常重要的一种反反爬策略 user-agent 用户代理 Fake_useragent模块 安装Fake_useragent模块 pip install fake_useragent 随机ua的使用 ua = UserAgent() s = ua.random print(s) 二、IP反爬 1、相关网址 返回当前的ip地址 http://
爬虫-网站地址及反爬机制
qq_44981522的博客
01-10 1989
爬虫-网站地址及反爬机制 1.安居客:https://cd.zu.anjuke.com/fangyuan/wuhou/x1/ - requests 2.贝壳找房:https://cd.zu.ke.com/zufang/#contentList - requests 3.腾讯视频:https://v.qq.com/ - 字体反爬 4.酷狗音乐:https://www.kugou.com/ - requests 5.起点小说:https://www.qidian.com/ - 待定(看不懂) 6.抖音视
【精选】网站反爬机制就爬不了数据?那是你不会【反爬,道高一尺魔高一丈啊
qq_53058639的博客
11-27 1094
伪装浏览器使用代理IP抓包分析突破异步加载 / selenium自动化测试工具添加cookie最后嘱咐大家一句,爬虫世界确实很有意思,技术是无罪的,学习是可以的,但还是实际操作就要适可而止了,不要触碰到法律的边界线。我下面也给大家整理了一些Python入门进阶的资料,大家如果有需要的话,可以参考以下这些资料。
Python爬虫从入门到精通(八)反爬及应对反爬的策略
zhulin1028的博客
12-11 2359
目录 一、 网站如何发现爬虫 二、网站如何进行反爬 三、爬虫如何发现自己可能被网站识别了 四、 爬虫应对反爬的策略 总结 随着抓取的数据量到一定程度,数据重复及爬取过程中的死链问题会凸显。怎么来解决反爬问题呢? 一、 网站如何发现爬虫 一般来说,网站会有以下一些简单的策略发现爬虫程序: 1)单一IP非常规的访问频次; 2)单一IP非常规的数据流量; 3)大量重复简单的网站浏览行为,只下载网页,没有后续的JS,CSS请求; 5)通过一些陷阱来发现爬虫,例如一些通过CSS...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值