爬蟲(chóng)是 Python 的一個(gè)常見(jiàn)應(yīng)用場(chǎng)景，很多練習(xí)項(xiàng)目就是讓大家去爬某某網(wǎng)站。爬取網(wǎng)頁(yè)的時(shí)候，你大概率會(huì)碰到一些反爬措施。這種情況下，你該如何應(yīng)對(duì)呢？本文梳理了常見(jiàn)的反爬措施和應(yīng)對(duì)方案。

通過(guò)User-Agent來(lái)控制訪問(wèn)

無(wú)論是瀏覽器還是爬蟲(chóng)程序，在向服務(wù)器發(fā)起網(wǎng)絡(luò)請(qǐng)求的時(shí)候，都會(huì)發(fā)過(guò)去一個(gè)頭文件：headers，比如知乎的requests headers

這里面的大多數(shù)的字段都是瀏覽器向服務(wù)器”表明身份“用的

對(duì)于爬蟲(chóng)程序來(lái)說(shuō)，最需要注意的字段就是：User-Agent

很多網(wǎng)站都會(huì)建立 user-agent白名單，只有屬于正常范圍的user-agent才能夠正常訪問(wèn)。

爬蟲(chóng)方法：

可以自己設(shè)置一下user-agent，或者更好的是，可以從一系列的user-agent里隨機(jī)挑出一個(gè)符合標(biāo)準(zhǔn)的使用。

缺點(diǎn)：

容易容易偽造頭部，github上有人分享開(kāi)源庫(kù)fake-useragent

實(shí)現(xiàn)難度：★

IP限制

如果一個(gè)固定的ip在短暫的時(shí)間內(nèi)，快速大量的訪問(wèn)一個(gè)網(wǎng)站，后臺(tái)管理員可以編寫(xiě)IP限制，不讓該IP繼續(xù)訪問(wèn)。

爬蟲(chóng)方法：

比較成熟的方式是：IP代理池

簡(jiǎn)單的說(shuō)，就是通過(guò)ip代理，從不同的ip進(jìn)行訪問(wèn)，這樣就不會(huì)被封掉ip了。

可是ip代理的獲取本身就是一個(gè)很麻煩的事情，網(wǎng)上有免費(fèi)和付費(fèi)的，但是質(zhì)量都層次不齊。如果是企業(yè)里需要的話，可以通過(guò)自己購(gòu)買集群云服務(wù)來(lái)自建代理池。

缺點(diǎn)：

可以使用免費(fèi)/付費(fèi)代理，繞過(guò)檢測(cè)。

實(shí)現(xiàn)難度：★

SESSION訪問(wèn)限制

后臺(tái)統(tǒng)計(jì)登錄用戶的操作，比如短時(shí)間的點(diǎn)擊事件，請(qǐng)求數(shù)據(jù)事件，與正常值比對(duì)，用于區(qū)分用戶是否處理異常狀態(tài)，如果是，則限制登錄用戶操作權(quán)限。

缺點(diǎn)：

需要增加數(shù)據(jù)埋點(diǎn)功能，閾值設(shè)置不好，容易造成誤操作。

爬蟲(chóng)方法：

注冊(cè)多個(gè)賬號(hào)、模擬正常操作。

實(shí)現(xiàn)難度：★★★

Spider Trap

蜘蛛陷阱導(dǎo)致網(wǎng)絡(luò)爬蟲(chóng)進(jìn)入無(wú)限循環(huán)之類的東西，這會(huì)浪費(fèi)蜘蛛的資源，降低其生產(chǎn)力，并且在編寫(xiě)得不好的爬蟲(chóng)的情況下，可能導(dǎo)致程序崩潰。禮貌蜘蛛在不同主機(jī)之間交替請(qǐng)求，并且不會(huì)每隔幾秒鐘從同一服務(wù)器請(qǐng)求多次文檔，這意味著“禮貌”網(wǎng)絡(luò)爬蟲(chóng)比“不禮貌”爬蟲(chóng)的影響程度要小得多。

反爬方式：

創(chuàng)建無(wú)限深度的目錄結(jié)構(gòu)

HTTP：//example.com/bar/foo/bar/foo/bar/foo/bar /

動(dòng)態(tài)頁(yè)面，為網(wǎng)絡(luò)爬蟲(chóng)生成無(wú)限數(shù)量的文檔。如由算法生成雜亂的文章頁(yè)面。

文檔中填充了大量字符，使解析文檔的詞法分析器崩潰。

此外，帶蜘蛛陷阱的網(wǎng)站通常都有robots.txt告訴機(jī)器人不要進(jìn)入陷阱，因此合法的“禮貌”機(jī)器人不會(huì)陷入陷阱，而忽視r(shí)obots.txt設(shè)置的“不禮貌”機(jī)器人會(huì)受到陷阱的影響。

爬蟲(chóng)方法：

把網(wǎng)頁(yè)按照所引用的css文件進(jìn)行聚類，通過(guò)控制類里最大能包含的網(wǎng)頁(yè)數(shù)量防止爬蟲(chóng)進(jìn)入trap后出不來(lái)，對(duì)不含css的網(wǎng)頁(yè)會(huì)給一個(gè)penalty，限制它能產(chǎn)生的鏈接數(shù)量。這個(gè)辦法理論上不保證能避免爬蟲(chóng)陷入死循環(huán)，但是實(shí)際上這個(gè)方案工作得挺好，因?yàn)榻^大多數(shù)網(wǎng)頁(yè)都使用了css，動(dòng)態(tài)網(wǎng)頁(yè)更是如此。

缺點(diǎn)：

反爬方式1，2會(huì)增加很多無(wú)用目錄或文件，造成資源浪費(fèi)，也對(duì)正常的SEO十分不友好，可能會(huì)被懲罰。

實(shí)現(xiàn)難度：★★★

驗(yàn)證碼驗(yàn)證

驗(yàn)證碼（CAPTCHA）是“Completely Automated Public Turing test to tell Computers and Humans Apart”（全自動(dòng)區(qū)分計(jì)算機(jī)和人類的圖靈測(cè)試）的縮寫(xiě)，是一種區(qū)分用戶是計(jì)算機(jī)還是人的公共全自動(dòng)程序。可以防止：惡意破解密碼、刷票、論壇灌水，有效防止某個(gè)黑客對(duì)某一個(gè)特定注冊(cè)用戶用特定程序暴力破解方式進(jìn)行不斷的登陸嘗試，實(shí)際上用驗(yàn)證碼是現(xiàn)在很多網(wǎng)站通行的方式，我們利用比較簡(jiǎn)易的方式實(shí)現(xiàn)了這個(gè)功能。這個(gè)問(wèn)題可以由計(jì)算機(jī)生成并評(píng)判，但是必須只有人類才能解答。由于 計(jì)算機(jī)無(wú)法解答CAPTCHA的問(wèn)題，所以回答出問(wèn)題的用戶就可以被認(rèn)為是人類。

1.圖片驗(yàn)證碼

復(fù)雜型

打碼平臺(tái)雇傭了人力，專門幫人識(shí)別驗(yàn)證碼。識(shí)別完把結(jié)果傳回去。總共的過(guò)程用不了幾秒時(shí)間。這樣的打碼平臺(tái)還有記憶功能。圖片被識(shí)別為“鍋鏟”之后，那么下次這張圖片再出現(xiàn)的時(shí)候，系統(tǒng)就直接判斷它是“鍋鏟”。時(shí)間一長(zhǎng)，圖片驗(yàn)證碼服務(wù)器里的圖片就被標(biāo)記完了，機(jī)器就能自動(dòng)識(shí)別了。

簡(jiǎn)單型

上面兩個(gè)不用處理直接可以用OCR識(shí)別技術(shù)(利用python第三方庫(kù)--tesserocr)來(lái)識(shí)別。

背景比較糊

清晰可見(jiàn)

經(jīng)過(guò)灰度變換和二值化后,由模糊的驗(yàn)證碼背景變成清晰可見(jiàn)的驗(yàn)證碼。

容易迷惑人的圖片驗(yàn)證碼

對(duì)于在這種驗(yàn)證碼,語(yǔ)言一般自帶圖形庫(kù),添加上扭曲就成了這個(gè)樣子,我們可以利用9萬(wàn)張圖片進(jìn)行訓(xùn)練,完成類似人的精準(zhǔn)度,到達(dá)識(shí)別驗(yàn)證碼的效果

2.短信驗(yàn)證碼

用Webbrowser技術(shù)，模擬用戶打開(kāi)短信的行為,最終獲取短信驗(yàn)證碼。

3.計(jì)算題圖片驗(yàn)證碼

把所有可能出現(xiàn)的漢字都人工取出來(lái)，保存為黑白圖片,把驗(yàn)證碼按照字體顏色二值化，去除噪點(diǎn),然后將所有圖片依次與之進(jìn)行像素對(duì)比,計(jì)算出相似值,找到最像的那張圖片

4.滑動(dòng)驗(yàn)證碼

對(duì)于滑動(dòng)驗(yàn)證碼

我們可以利用圖片的像素作為線索,確定好基本屬性值,查看位置的差值,對(duì)于差值超過(guò)基本屬性值,我們就可以確定圖片的大概位置。

5.圖案驗(yàn)證碼

對(duì)于這種每次拖動(dòng)的順序不一樣,結(jié)果就不一樣,我們?cè)趺醋鰜?lái)識(shí)別呢?

利用機(jī)器學(xué)習(xí)所有的拖動(dòng)順序,利用1萬(wàn)張圖片進(jìn)行訓(xùn)練,完成類似人的操作,最終將其識(shí)別

利用selenium技術(shù)來(lái)模擬人的拖動(dòng)順序,窮盡所有拖動(dòng)方式,這樣達(dá)到是別的效果

6.標(biāo)記倒立文字驗(yàn)證碼

我們不妨分析下:對(duì)于漢字而言,有中華五千年龐大的文字庫(kù),加上文字的不同字體、文字的扭曲和噪點(diǎn),難度更大了。

方法:首先點(diǎn)擊前兩個(gè)倒立的文字,可確定7個(gè)文字的坐標(biāo)， 驗(yàn)證碼中7個(gè)漢字的位置是確定的，只需要提前確認(rèn)每個(gè)字所在的坐標(biāo)并將其放入列表中，然后人工確定倒立文字的文字序號(hào)，將列表中序號(hào)對(duì)應(yīng)的坐標(biāo)即可實(shí)現(xiàn)成功登錄。

爬蟲(chóng)方法：

接入第三方驗(yàn)證碼平臺(tái)，實(shí)時(shí)破解網(wǎng)站的驗(yàn)證碼。

缺點(diǎn)：

影響正常的用戶體驗(yàn)操作，驗(yàn)證碼越復(fù)雜，網(wǎng)站體驗(yàn)感越差。

實(shí)現(xiàn)難度：★★

通過(guò)robots.txt來(lái)限制爬蟲(chóng)

robots.txt（統(tǒng)一小寫(xiě)）是一種存放于網(wǎng)站根目錄下的ASCII編碼的文本文件，它通常告訴網(wǎng)絡(luò)搜索引擎的漫游器（又稱網(wǎng)絡(luò)蜘蛛），此網(wǎng)站中的哪些內(nèi)容是不應(yīng)被搜索引擎的漫游器獲取的，哪些是可以被漫游器獲取的。因?yàn)橐恍┫到y(tǒng)中的URL是大小寫(xiě)敏感的，所以robots.txt的文件名應(yīng)統(tǒng)一為小寫(xiě)。robots.txt應(yīng)放置于網(wǎng)站的根目錄下。如果想單獨(dú)定義搜索引擎的漫游器訪問(wèn)子目錄時(shí)的行為，那么可以將自定的設(shè)置合并到根目錄下的robots.txt，或者使用robots元數(shù)據(jù)（Metadata，又稱元數(shù)據(jù)）。

robots.txt協(xié)議并不是一個(gè)規(guī)范，而只是約定俗成的，所以并不能保證網(wǎng)站的隱私。注意robots.txt是用字符串比較來(lái)確定是否獲取URL，所以目錄末尾有與沒(méi)有斜杠“/”表示的是不同的URL。robots.txt允許使用類似"Disallow: *.gif"這樣的通配符。

itunes的robots.txt

缺點(diǎn)：

只是一個(gè)君子協(xié)議，對(duì)于良好的爬蟲(chóng)比如搜索引擎有效果，對(duì)于有目的性的爬蟲(chóng)不起作用

爬蟲(chóng)方法：

如果使用scrapy框架，只需將settings文件里的ROBOTSTXT_OBEY 設(shè)置值為 False

實(shí)現(xiàn)難度：★

數(shù)據(jù)動(dòng)態(tài)加載

python的requests庫(kù)只能爬取靜態(tài)頁(yè)面，爬取不了動(dòng)態(tài)加載的頁(yè)面。使用JS加載數(shù)據(jù)方式，能提高爬蟲(chóng)門檻。

爬蟲(chóng)方法：

抓包獲取數(shù)據(jù)url

通過(guò)抓包方式可以獲取數(shù)據(jù)的請(qǐng)求url，再通過(guò)分析和更改url參數(shù)來(lái)進(jìn)行數(shù)據(jù)的抓取。

示例：

看 https://image.baidu.com 這部分的包。可以看到，這部分包里面，search下面的那個(gè) url和我們?cè)L問(wèn)的地址完全是一樣的，但是它的response卻包含了js代碼。

2. 當(dāng)在動(dòng)物圖片首頁(yè)往下滑動(dòng)頁(yè)面，想看到更多的時(shí)候，更多的包出現(xiàn)了。從圖片可以看到，下滑頁(yè)面后得到的是一連串json數(shù)據(jù)。在data里面，可以看到thumbURL等字樣。它的值是一個(gè)url。這個(gè)就是圖片的鏈接。

3. 打開(kāi)一個(gè)瀏覽器頁(yè)面，訪問(wèn)thumbURL="https://ss1.bdstatic.com/70cFvXSh_Q1YnxGkpoWK1HF6hhy/it/u=1968180540,4118301545&fm=27&gp=0.jpg" 發(fā)現(xiàn)搜索結(jié)果里的圖片。

4. 根據(jù)前面的分析，就可以知道，請(qǐng)求

URL="https://image.baidu.com/search/acjsontn=resultjson_com&ipn=rj&ct=201326592&is=&fp=result&queryWord=%E5%8A%A8%E7%89%A9%E5%9B%BE%E7%89%87&cl=2&lm=-1&ie=utf8&oe=utf8&adpicid=&st=-1&z=&ic=0&word=%E5%8A%A8%E7%89%A9%E5%9B%BE%E7%89%87&s=&se=&tab=&width=&height=&face=0&istype=2&qc=&nc=1&fr=&pn=30&rn=30&gsm=1e&1531038037275="，用瀏覽器訪問(wèn)這個(gè)鏈接確定他是公開(kāi)的。

5. 最后就可以尋找URL的規(guī)律，對(duì)URL進(jìn)行構(gòu)造便可獲取所有照片。

使用selenium

通過(guò)使用selenium來(lái)實(shí)現(xiàn)模擬用戶操作瀏覽器，然后結(jié)合BeautifulSoup等包來(lái)解析網(wǎng)頁(yè)通過(guò)這種方法獲取數(shù)據(jù)，簡(jiǎn)單，也比較直觀，缺點(diǎn)是速度比較慢。

缺點(diǎn)：

如果數(shù)據(jù)API沒(méi)做加密處理，容易曝光接口，讓爬蟲(chóng)用戶更容易獲取數(shù)據(jù)。

實(shí)現(xiàn)難度：★

數(shù)據(jù)加密-使用加密算法

前端加密

通過(guò)對(duì)查詢參數(shù)、user-agent、驗(yàn)證碼、cookie等前端數(shù)據(jù)進(jìn)行加密生成一串加密指令，將加密指令作為參數(shù)，再進(jìn)行服務(wù)器數(shù)據(jù)請(qǐng)求。該加密參數(shù)為空或者錯(cuò)誤，服務(wù)器都不對(duì)請(qǐng)求進(jìn)行響應(yīng)。

服務(wù)器端加密

在服務(wù)器端同樣有一段加密邏輯，生成一串編碼，與請(qǐng)求的編碼進(jìn)行匹配，匹配通過(guò)則會(huì)返回?cái)?shù)據(jù)。

爬蟲(chóng)方法：

JS加密破解方式，就是要找到JS的加密代碼，然后使用第三方庫(kù)js2py在Python中運(yùn)行JS代碼，從而得到相應(yīng)的編碼。

案例參考：

https://blog.csdn.net/lsh19950928/article/details/81585881

缺點(diǎn)：

加密算法明文寫(xiě)在JS里，爬蟲(chóng)用戶還是可以分析出來(lái)。

實(shí)現(xiàn)難度：★★★

數(shù)據(jù)加密-使用字體文件映射

服務(wù)器端根據(jù)字體映射文件先將客戶端查詢的數(shù)據(jù)進(jìn)行變換再傳回前端，前端根據(jù)字體文件進(jìn)行逆向解密。

映射方式可以是數(shù)字亂序顯示，這樣爬蟲(chóng)可以爬取數(shù)據(jù)，但是數(shù)據(jù)是錯(cuò)誤的。

破解方式：

其實(shí)，如果能看懂JS代碼，這樣的方式還是很容易破解的，所以需要做以下幾個(gè)操作來(lái)加大破解難度。

對(duì)JS加密

使用多個(gè)不同的字體文件，然后約定使用指定字體文件方式，比如時(shí)間戳取模，這樣每次爬取到的數(shù)據(jù)映射方式都不一樣，映射結(jié)果就不一樣，極大提高了破解的難度。

該種方式相比使用加密算法方式難度更高，因?yàn)榧用芩惴ㄊ枪潭ǖ膸追N，對(duì)方很容易獲取并破解，而字體文件映射可以按任意規(guī)則映射，正常的數(shù)據(jù)使之錯(cuò)誤顯示，爬蟲(chóng)不容易察覺(jué)。

參考案例：https://www.jianshu.com/p/f79d8e674768

缺點(diǎn)：

需要生成字體文件，增加網(wǎng)站加載資源的體量。

實(shí)現(xiàn)難度：★★★★

非可視區(qū)域遮擋

此方式主要針對(duì)使用senlium進(jìn)行的爬蟲(chóng)，如果模擬界面未進(jìn)入可視區(qū)域，則對(duì)未見(jiàn)數(shù)據(jù)進(jìn)行遮擋，防止senlium的click()操作。這種方式只能稍稍降低爬蟲(chóng)的爬取速度，并不能阻止繼續(xù)進(jìn)行數(shù)據(jù)爬取。

實(shí)現(xiàn)難度：★

責(zé)任編輯：lq