2024 年如何绕过 Cloudflare

最新推荐文章于 2024-06-05 18:18:51 发布
最新推荐文章于 2024-06-05 18:18:51 发布
阅读量3.7k 收藏 16
点赞数 27
文章标签: php 开发语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_50539705/article/details/136947548
版权

2024 年如何绕过 Cloudflare

前言

您需要抓取的网站中大约有 1/5 使用 Cloudflare,这是一个硬核的反机器人保护系统,可以轻松阻止您。所以,你可以做什么? 😥 交流学习author_v传送门:yaoqing012

什么是 Cloudflare 机器人管理

Cloudflare 是一家 Web 性能和安全公司。在安全方面,他们为客户提供了Web 应用程序防火墙 (WAF)。 WAF 可以保护应用程序免受多种安全威胁,例如跨站点脚本 (XSS)、撞库和 DDoS 攻击。

Cloudflare 的 Bot Manager 是其 WAF 中包含的核心系统之一。作为机器人防护解决方案,其主要目标是在不影响真实用户的情况下减轻恶意机器人的攻击。

Cloudflare 承认某些机器人的重要性。例如,没有网站愿意故意阻止谷歌或其他搜索引擎抓取其网页。考虑到这一点,Cloudflare 维护了一个已知良好机器人的允许名单。

Cloudflare 如何检测机器人?

Cloudflare 使用的 bot 检测方法一般可以分为两类:被动和主动。被动机器人检测技术包括在后端执行的指纹检查,而主动检测技术则依赖于在客户端执行的检查。让我们一起深入了解每个类别的一些示例!

Cloudflare 被动机器人检测技术

以下是 Cloudflare 采用的一些被动机器人检测技术的非详尽列表:

检测僵尸网络

Cloudflare 维护已知与恶意机器人网络相关的设备、IP 地址和行为模式的目录。任何被怀疑属于这些网络之一的设备要么被自动阻止,要么面临额外的客户端挑战需要解决。

IP地址信誉

用户的 IP 地址信誉(也称为风险评分或欺诈评分)基于地理位置、ISP 和信誉历史等因素。例如,属于数据中心或已知 VPN 提供商的 IP 的声誉将比住宅 IP 地址差。站点还可以选择限制从其服务区域之外的区域访问站点,因为来自实际客户的流量永远不应该来自那里。

HTTP 请求标头

Cloudflare 使用 HTTP 请求标头来确定您是否是机器人。如果您有非浏览器用户代理,例如python-requests/2.22.0,您的抓取工具很容易被识别为机器人。如果您的机器人发送的请求缺少浏览器中本来存在的标头,Cloudflare 也可以阻止您的机器人。或者,如果您的用户代理的标头不匹配。例如,包含sec-ch-ua-full-version-list:Firefox 用户代理的标头。

TLS 指纹识别

此技术使 Cloudflare 的反机器人能够识别用于向服务器发送请求的客户端。

尽管有多种对 TLS 进行指纹识别的方法(例如JA3、JARM和CYU),但每种实现都会针对每个请求客户端生成静态的指纹。TLS 指纹识别很有用,因为浏览器的 TLS 实现往往与其他发行版本、其他浏览器和基于请求的库的实现不同。例如,Windows(版本 104)上的 Chrome 浏览器将具有与以下所有浏览器不同的指纹:

Windows 上的 Chrome 浏览器(版本 87)

火狐浏览器
Android 设备上的 Chrome 浏览器
Python HTTP 请求库
TLS 指纹的构建发生在TLS 握手期间。 Cloudflare 分析“客户端问候”消息中提供的字段(例如密码套件、扩展名和椭圆曲线),以计算给定客户端的指纹哈希。

接下来,在预先收集的指纹数据库中查找该哈希值,以确定请求来自哪个客户端。假设客户端的哈希值与允许的指纹哈希值(即浏览器的指纹)匹配。在这种情况下,Cloudflare 会将客户端请求中的用户代理标头与与存储的指纹哈希关联的用户代理进行比较。

如果它们匹配,则安全系统假定该请求源自标准浏览器。相反,客户端的 TLS 指纹与其公布的用​​户代理之间不匹配表明明显使用了自定义机器人软件,从而导致请求被阻止。

HTTP/2 指纹识别

HTTP/2 规范是第二个主要 HTTP 协议版本,于 2015 年 5 月 14 日发布,作为RFC 7540。所有主流浏览器都支持该协议。

HTTP/2 的主要目标是通过引入标头字段压缩并允许同一 TCP 连接上的并发请求和响应来提高网站和 Web 应用程序的性能。为了实现这一目标,HTTP/1.1 的基础通过新的参数和值进行了扩展。这些新的内部结构正是 HTTP/2 指纹的基础。

二进制框架层是 HTTP/2 的新增内容,也是HTTP/2 指纹的核心焦点。

如果您有兴趣更深入地分析 HTTP/2 指纹识别,您应该在此处阅读 Akamai 提出的 HTTP2 客户端指纹识别方法:HTTP/2 客户端的被动指纹识别。但现在,这里有一个总结:

HTTP/2 指纹由三个主要组件组成:

框架: SETTINGS_HEADER_TABLE_SIZE, SETTINGS_ENABLE_PUSH, SETTINGS_MAX_CONCURRENT_STREAMS, SETTINGS_INITIAL_WINDOW_SIZE, SETTINGS_MAX_FRAME_SIZE, SETTINGS_MAX_HEADER_LIST_SIZE, WINDOW_UPDATE
** 流优先级信息:**StreamID:Exclusivity_Bit:Dependant_StreamID:Weight
伪标头字段顺序::method、:authority、:scheme和标头的顺序:path。
如果您好奇,可以单击此处测试实时 HTTP/2 指纹识别演示。

与 TLS 指纹一样,每个请求客户端都会有一个静态 HTTP/2 指纹。为了确定请求的合法性,Cloudflare 始终验证请求中的指纹和用户代理对是否与其数据库中存储的白名单相匹配。

HTTP/2 指纹识别和 TLS 指纹识别齐头并进。在 Cloudflare 使用的所有被动机器人检测技术中,这两种技术在基于请求的机器人中控制起来最具技术挑战性。然而,它们也是最重要的。所以,你要确保你做对了,否则就有被屏蔽的风险!

方法1:通过调用源服务器绕过 Cloudflare CDN

Cloudflare 只能阻止通过其网络的请求,所以如果我们可以直接向源服务器发送请求不是很好吗?您和您想要的数据之间没有任何防御!

这并不总是可行,但在可行时很有用。首先查找托管内容的服务器的 IP 地址。获得源 IP 后,您可以向不受 Cloudflare 反机器人保护的服务器执行请求。

我们这里有两个步骤:获取源IP地址并执行请求。

查找源IP地址

受 Cloudflare 保护的网站将隐藏其 DNS 记录…但可能不是到处都是:一些不受保护的子域、旧服务或邮件可能在同一域名下可用,但指向源服务器。

有几个网站可以为您提供这方面的有用信息。例如,像ShodanCensys这样的数据库,或者像CloudFlairCloudPeler这样的工具,可能会显示它们的一些内部结构。并非所有目标都会出现在那里,许多目标不会有任何有用的条目,但有些目标可能会暴露其数据。

向源站请求数据

您获得了原始 IP 地址,太棒了!但现在……该怎么办呢?您可以尝试将其粘贴到浏览器的地址栏上,但可能会失败。这是一种常见的服务器配置,仅允许使用有效域名(例如 )的连接,example.com而不是 IP 地址。

但是使用域名会转到 DNS,对吧?所以我们需要避免这些。

您可以尝试使用 cURL 等工具,它允许您向目标 IP 发送请求,但强制主机。另一种选择是尝试强制您的主机文件(即/etc/hosts),因为请求不会检查 DNS 并会使用您手动设置的 IP。

这一切听起来不错,但第一种方法在很多情况下不起作用。在下一节中,我们将通过分析其核心:Cloudflare 等候室,了解 Cloudflare 的反机器人如何将其防御技术付诸实践。

方法2:实施强化的无头浏览器

遵循 FlareSolverr 的想法,您可以尝试自己运行无头浏览器。但在实施此选项之前请继续阅读。

由于无头浏览器是为测试而不是抓取而设计的,因此它们具有多个特征,使 Cloudflare 可以轻松识别它们,例如navigator.webdriver像 Selenium 那样公开。

不用担心,每种最流行的无头浏览器都有解决方案:

Selenium: unDetected_chromedriver优化并修补了基础 Selenium,使其准备好进行抓取。

Puppeteer:使用 Puppeteer 时必须安装Stealth 插件。Puppeteer 额外库附带了其他有用的插件(即 adblocker 😉)。

Playwright:上面提到的隐形插件也适用于 Playwright!

这些都是很棒的项目,如果应用了抓取补丁,效果会更好,但它们也有重要的缺点,例如上面提到的内存和资源消耗。而且,如果你不小心的话,带宽也会受到影响。

普通页面压缩后可能约为 10-50 kB 或更少。如果我们添加所有资源(CSS、JavaScript、图像),很容易就会变成 1-5 MB。你可能需要代理,对吧?其中许多按 GB 收费;这可不是什么好消息。

您可以阻止某些资源,例如图像,因为您可能不需要它们。但阻挡时要小心;过于激进,Cloudflare 会检测到您。

需要注意的是,反机器人系统会加载某些资产来执行检查。 JavaScript 是每个人都在谈论的,但他们不会仅限于此。有时图像和/或样式表也很重要,不加载它们是安全系统阻止您的明确指示。

方法三 JavaScript逆向(需要一定的实力)

在这里插入图片描述

方法四 对接打码平台

yescaptcha: https://yescaptcha.com/i/Tcb4tM
capmonster: https://capmonster.cloud/Dashboard

就水到这里吧,黔驴技穷了,下次接着水。。。 有想法欢迎加卫星交流:yaoqing012

铝锈才
关注
  • 27
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CloudProxy:代理服务器绕过Cloudflare保护
03-20
云代理 代理服务器绕过Cloudflare保护 :warning:该项目处于测试状态。有些事情可能不起作用,API随时可能更改。请参阅“已知问题”部分。 不和谐 如果您需要帮助,请随时与我的! 怎么运行的 CloudProxy启动代理服务器,并使用很少的资源等待处于空闲状态的用户请求。当一些请求到达时,它使用与来创建一个无头浏览器(Chrome)。它使用用户参数打开URL,并等待直到Cloudflare挑战解决(或超时)。 HTML代码和cookie将发送回用户,并且这些cookie可用于使用其他HTTP客户端绕过Cloudflare。 注意:Web浏览器会占用大量内存。如果您在具有较少RAM的计算机上运行CloudProxy,请不要一次发出多个请求。对于每个请求,除非您强烈建议使用会话ID,否则都会启动一个新的浏览器。但是,如果使用会话,则应确保在使用完会话后立即将其关闭。 安装 它需要NodeJS
cloudscraper:绕过Cloudflare的反机器人页面的Python模块
04-30
爬山虎 一个简单的Python模块可以绕过Cloudflare的反机器人页面(也称为“我处于攻击模式”或IUAM),并通过实现。 Cloudflare会定期更改其技术,因此我将经常更新此存储库。 如果您希望抓取或抓取受Cloudflare保护的网站,此功能将非常有用。 Cloudflare的反漫游器页面目前仅检查客户端是否支持Javascript,尽管它们将来可能会添加其他技术。 由于Cloudflare不断更改和强化其保护页面,cloudcraper需要使用JavaScript引擎/解释器来解决Javascript难题。 这使脚本可以轻松模拟常规的Web浏览器,而无需明确地反混淆和解析Cloudflare的Javascript。 作为参考,这是Cloudflare用于以下页面的默认消息: Checking your browser before accessing websit
如何使用 Python 和 Selenium 解决 Cloudflare 验证码
最新发布
weixin_68994939的博客
06-05 1546
苦于 Cloudflare 验证码?了解如何使用 Python 和 Selenium 解决它!本指南分析了什么是 Cloudflare 验证码,并提供了 2024 网络刮擦的有效解决方案。
FlareSolverr:代理服务器绕过Cloudflare保护
01-30
FlareSolverr FlareSolverr是绕过Cloudflare保护的代理服务器 :warning_selector: 该项目处于测试状态。 有些事情可能不起作用,API随时可能更改。 这个怎么运作 FlareSolverr启动代理服务器,并使用很少的资源等待处于空闲状态的用户请求。 当一些请求到达时,它使用与来创建一个无头浏览器(Chrome)。 它使用用户参数打开URL,并等待直到Cloudflare挑战解决(或超时)。 HTML代码和cookie将发送回用户,这些cookie可用于使用其他HTTP客户端绕过Cloudflare。 注意:Web浏览器会占用大量内存。 如果在具有很少RAM的计算机上运行FlareSolverr,则不要一次发出很多请求。 对于每个请求,都会启动一个新的浏览器。 也可以使用永久会话。 但是,如果使用会话,则应确保在使用完会话后立即将其关闭。 安装 码头工人 建议使用Docker容器进行安装,因为该项目依赖于映像中已包含的外部浏览器。 Docker映像位于: GitHub注册表=> DockerHub => 支持的体系结构是:
proxy-request-builder:绕过cloudflare保护,抓取网站,解析网站的代理
02-05
Proxyrequest-解析网站-绕过cloudflare或任何定制保护 如果您正在寻找一种解析受cloudflare或其他自定义解决方案保护的网站的方法,那么您来对地方了。 通常,如果您需要从网站上获取几十个页面,则可以直接访问网站并轻松抓取数据。 如果网站受到某种保护,并且您需要定期获取大量数据,则会出现问题。 我们代表我们处理所有阻止保护的行为。 您得到的数据就像直接请求它们一样。 如果您需要获取网页,图像和其他最大不超过30MB的文件,则此解决方案很好。 如果您需要下载视频,那就不好了(不是现在,也许将来)。 请求页面上的所有javascript均未执行。 您按原样获取页面。
克服Cloudflare反爬虫限制的Python爬虫技巧:应对Cloudflare的反爬虫机制
07-17 3030
为了绕过这一机制,我们可以使用第三方库,如Selenium,来模拟浏览器环境并执行JavaScript代码,从而通过验证过程。为了处理这一限制,我们可以在爬虫中设置请求的Cookie信息,以使其与正常用户的请求一致。为了应对这一机制,我们可以在爬虫代码中设置合适的User-Agent,使其与常见的浏览器一致,从而绕过User-Agent识别。Cloudflare还使用IP地址来限制访问。为了绕过这一机制,我们可以使用代理服务器来隐藏真实的IP地址,或者使用Tor网络进行匿名访问,从而规避IP封锁。
pupflare:通过puppeteer请求的网页代理-可用于绕过非浏览器应用程序(例如curl)上的cloudflare anti bot anti ddos
02-03
如何启动 安装NodeJS npm install npm start 如何使用 使用端口3000将请求发送到服务器,然后将URL添加到“ URL”查询字符串中,如下所示: http://localhost:3000/?url=https://example.org 要显示浏览器窗口,请设置环境变量PUPPETEER_HEADFUL=1 。 要使用代理,请设置PUPPETEER_PROXY环境变量,例如PUPPETEER_PROXY=localhost:8080 。 码头工人 可在此处作为Docker映像使用: :
Python使用Selenium库如何绕过Cloudflare验证,网页请确认你是不是机器人
IT技术博客
10-17 8096
前段时间使用selenium库写chatGPT的脚本,遇到过一个问题,那就是cloudflare的机器验证,让你点击确认不是机器人,这个问题最后找人解决掉了,我也是百度了很久没找到答案,B站找到的一个UP主,只要报名人家的课程才会给方法,所以,下面就把这个问题怎么解决来说明一下!安装好我提供的谷歌浏览器之后,就可以开始测试了,禁止更新,后面可以自己搞一下。修改完自己的代码之后,在测试一下,就可以绕过cloudflare的验证了,而且很稳定 ,对于里面的代码什么意思,大家可以自己查找一下,不做解释了。
绕过Cloudflare访问网站的方法
cloudbypass的博客
05-30 8716
通过修改hosts文件,您可以将目标网站的域名解析直接指向目标网站的IP地址,绕过Cloudflare的DNS解析。在本地计算机上找到hosts文件(通常位于C:\Windows\System32\drivers\etc\hosts),将目标网站的域名与其对应的IP地址添加到文件的末尾。选择安全可靠的VPN服务商,并遵循其使用规则,以确保隐私和数据安全。通过修改本地计算机或路由器的DNS设置,可以将DNS服务器指向其他可用的服务器,从而绕过Cloudflare的DNS解析。
Python Selenium绕过Cloudflare抓取网页
kzhulu的博客
07-17 4556
Python Selenium绕过Cloudflare抓取网页
2023 如何绕过 Cloudflare
aini123152008的博客
11-09 8016
Cloudflare|5秒盾
cloudflare-bypass:NodeJS工具绕过Cloudflare iUam V2
04-28
绕云绕道 一个NodeJS工具绕过Cloudflare IUAM v2。这个怎么运作JS挑战( jsch )包含多个串联JavaScript挑战。 我正在尝试对所有这些进行逆向工程,在可以看到已经逆转的所有挑战。 验证码挑战可以在JS挑战之后提出...
cloudflare 5秒等待验证逆向破解
wanlitengfei的专栏
10-28 4201
cloudflare 5秒等待验证逆向破解的解决方案
Selenium自动化绕过Cloudflare检测的方法
weixin_49945917的博客
01-07 7645
运营多账号的“老手”们,应该对Selenium工具并不陌生,它可以直接在浏览器中运行,模拟真实的用户操作环境。AdsPower强大的 local API 和 RPA 机器人功能轻松绕过绕过Cloudflare检测的方法。
深入解析Cloudflare五秒盾与爬虫绕过技巧
热门推荐
吴秋霖的博客
06-08 2万+
手把手教你绕过Cloudflare五秒盾,让你的爬虫效率倍增!
【爬虫】绕过 CloudFlare 5秒盾的方案
Ezrealer的博客
06-09 1万+
方案一 通过selenium拿到cookie后,带着cookie发送请求 方案二 1、安装 pip install cfscrape 2、demo import cfscrape # get请求 # 实例化一个create_scraper对象 scraper = cfscrape.create_scraper(delay = 10) # 获取网页源代码 resp = scraper.get("https://wallhere.com/") print(resp.text) # post请求 # 实例化
绕过CloudFlare缓存来达到网站加速目的
10-31 1579
都说cloudflare国内速度慢,但是CloudFlare免费啊。CloudFlare加速的方法也有很多,复杂方法的可以自选IP,对于新手不友好
如何绕过Cloudflare
cloudbypass的博客
05-30 2491
随着互联网的普及,希望与全球各地的客户联系的企业面临着一些挑战,包括地理延迟和安全漏洞。无头浏览器是一种能够模拟浏览器行为的工具,它可以加载和执行网页上的JavaScript代码,并获取动态生成的内容。通过使用无头浏览器,您可以更好地模拟真实用户的行为,绕过Cloudflare的检测。网站上的内容根据所使用的浏览器而有所不同。这样,您就可以获得与使用传统爬虫工具不同的访问权限,从而绕过Cloudflare的检测。需要注意的是,使用无头浏览器可能需要更多的技术知识和编程能力,并且可能会增加数据获取的复杂性。
爬虫绕过Cloudflare
09-13
爬虫绕过Cloudflare的方法可以包括以下几个步骤: 1. 使用代理:Cloudflare可能会根据IP地址来判断请求的真实性。通过使用代理服务器,您可以隐藏您的真实IP地址,使Cloudflare难以识别您的请求是来自机器人还是真实用户。您可以选择使用公开的代理服务器,或者购买专业的代理服务来确保稳定和安全。 2. 改变请求头信息:Cloudflare也会检查请求的头信息来判断是否是机器人。通过修改请求头中的参数,比如User-Agent、Referer等,使其看起来更像是真实用户的请求。您可以随机生成这些参数,以增加其真实性。 3. 模拟人类行为:Cloudflare可以根据爬虫的行为模式来判断是否是机器人。为了避免被阻止,可以模拟人类的浏览行为,比如增加随机的点击、滚动和鼠标移动。这样可以使爬虫的行为更接近真实用户,减少被识别为机器人的概率。 4. 处理验证码:有些网站通过在Cloudflare的反机器人页面上显示验证码来验证用户的身份。爬虫需要能够识别并自动处理这些验证码,以继续访问受保护的页面。可以使用OCR技术或者借助第三方服务来自动识别和解决验证码。 需要注意的是,绕过Cloudflare的反机器人页面可能涉及到违反网站的服务条款和法律法规。在尝试绕过Cloudflare之前,建议您先与网站所有者或管理员进行沟通,以确保您的行为合法且符合网站的规定。同时,谨慎使用这些方法,并遵守相关法律法规,以免引起法律问题。 总结起来,爬虫绕过Cloudflare的方法包括使用代理、改变请求头信息、模拟人类行为和处理验证码等。这些方法都旨在模仿真实用户的行为,从而减少被Cloudflare识别为机器人的概率[2]。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值