想问下,限制国内人访问的网站(非敏感网站,电商网站不针对国内市场)除了用 IP 封锁,还有那些其他办法?
sskk007 2019-12-14 15:30:26 +08:00 7886 次点击这是一个创建于 2130 天前的主题,其中的信息可能已经有所发展或是发生改变。
本人有个独立站,产品经常被同行抄袭,IP 封锁用代理很容易就被破解了
 | 1 Dragonish3600 2019-12-14 15:33:00 +08:00 via iPhone 没有.exe 或者就是不留网页版只用 app |
 | 2 xiaoz 2019-12-14 15:42:03 +08:00 via Android DNS 智能解析,国内解析到 127.0.0.0,国外解析到正确 IP,当然任何方法精准度无法做到 100%准确。 |
 | 3 U7Q5tLAex2FI0o0g 2019-12-14 15:46:57 +08:00 没有 |
 | 4 Osk 2019-12-14 15:54:47 +08:00 via Android 判断浏览器提供的信息: 时区,语言列表? 不过估计没啥用。 这些信息都可以伪造,ip 也可以通过虚拟专用网换,dns 也是国外的 dns,难啊 |
 | 5 tomczhen 2019-12-14 15:58:43 +08:00 via Android 抄袭设计风格素材这种技术上无解,从法律法规方面想办法,技术上利用数字水印之类辅助取证。 抄袭内容这种,技术上有一定的作用,但是单从技术方面解决是一个对抗过程,没有一劳永逸的办法 。 只要利益足够,那么总会有人去抄袭。 |
 | 6 ihipop 2019-12-14 16:03:29 +08:00 via Android  9 争取官方( GFW )认证是最简单的方案 |
 | 7 juded 2019-12-14 16:09:04 +08:00 如果你只是想不卖到国内,ip 限制+国卡转运地址砍单。 不过想买的永远都有办法买到~ |
 | 8 hoyixi 2019-12-14 16:31:29 +08:00 你这不对路。防访问根本没啥用。 啥产品? 如果是 SEO 就向 Google 投诉;如果是假冒伪劣,就向销售平台,甚至收款工具投诉。 |
| 9 IsA26hN4DcQDS7Z9 2019-12-14 16:47:17 +08:00 根据语言+时区判断? 但也根治不了 |
 | 10 WingOnSummit 2019-12-14 18:01:22 +08:00 via Android 根治不了吧,起点这样的大站,外文站都免不了被国内读者上去剧透 |
 | 11 testcaoy7 2019-12-14 18:18:40 +08:00 可以用浏览器指纹识别,凡语言是中国大陆简体中文的一律禁止访问 |
 | 14 imn1 2019-12-14 20:04:50 +08:00 手机扫码登录 |
 | 16 MiaRunis 2019-12-14 21:44:36 +08:00 7 我这套主要是防中国大陆来源 dos 的,不过应该也有些参考价值。 1,用 geolocation 把中国大陆屏蔽了,香港酌情,建议整体屏蔽,因为很多企业用户从香港出的。 2,ASN 屏蔽掉中国电信(两张网),中国联通(两张网),中国移动(别忘了 pccw 的接入点),中国教育网 /科技网 的全部 as 段,尤其是中国电信,在全球有大量 pop 点,很多拉了专线或者虚拟专线的企业用户会从全球 pop 点出,单纯 geolocation 屏蔽不够。 3,屏蔽全部支持支付宝的机房 ASN 和 ip 段。尤其 digital ocean/vultr/banwagong/Oracle 这些。其他中文主机论坛常出现的主也屏蔽。屏蔽有 cn2 接入的机房,这类服务商在官网会有宣传,或者从 ASN peering 找。 4,屏蔽各大 vpn/机场 /公共代理 ip 列表。 5,来自 baidu.com/qihucdn.com 这类 referal 的请求 CDN 上就直接丢弃,不要把流量压到后面。 6,屏蔽 tor/I2P/IPFS 公共中转代理站。 7,浏览器语言是 zh-cn/zh-hans/zh-Hans-CN 一律直接丢弃。(可能会有新马用户误伤) 8,UC/360 等天朝产浏览器标签直接丢弃。还有那些辣鸡天朝产物联网设备浑身是洞,连接特征也很明显,可以比较简单的找到特征丢弃流量。 9,浏览器+8 时区用户强制 recaptcha 一次。 10,js 检测翻译脚本替换文字,发生大概率是中国人。 11,aws 反复换 ip 刷出被墙无法连接的 ip。 12,符合上述中国大陆特征的用户也可以直接反代给***的网站。并且在大陆开会期间多多在社交网站发布,转发。 13,举报网站 分析: 网页请求用户位置,少数人会给,可以对定位在中国大陆境内的,根据其 ip,canvas fingerprint 等信息分析代理。 比较旧的浏览器会泄露插件,某些插件只有中国人在用。 访问时间段,UTC+8 的模式,攻击基本只在上班时间出现。 另外考虑屏蔽掉所有非目标销售地区的访问。 如果服务器和目标用户很近,可以 js 发起测速,凡是延迟上百 ms 的肯定是代理。ip 屏蔽掉。 |
 | 17 luanc 2019-12-15 01:24:43 +08:00 没用的,别人英文系统加代理全局,你就被抄了 |
 | 18 BFDZ 2019-12-15 01:56:59 +08:00 最有效的方法:必须注册才能浏览,注册要提供外国的身份凭证,护照,银行流水,水电账单 技术手段是限制不了的 |
 | 20 Buges 2019-12-15 03:02:42 +08:00 @MiaRunis #16 收藏了,但还有些疑惑: 1. 如何判断各大vpn 鸡。场的IP?你总不能都买一遍吧,而且他们还很多动态IP,原生落地(解锁流媒体)的IP,Netfl。ix都能骗过去。简直没啥可行性,最多就是干掉公共的vpn 2. utc+8应该说是非常明显的特征了,应该直接ban掉,反而tor之类的除非你完全不欢迎匿名方访客,不然应该给recaptcha而不是直接ban 3. 请求头的accept-language列表应该存在中文的就ban(不然连我自己都挡不住) 4. hk tw等地的IP应该放开,从网络角度它们和中国关系不大。 5. 建议自建ns服务器探测dns请求,可以过滤一些udp泄漏的用户 6. 网页请求位置这种烂事不建议干 7. 翻译怎么检测?内嵌脚本应该容易,chrome的原生翻译检测的话会很影响性能吧。 6. 当然我的目的不是防DOS,而是不希望引起中国人的关注(面对非中国人的网站)避免一些安全问题。 |
 | 21 z7356995 2019-12-15 07:45:50 +08:00 via Android 我补充一点 firefox 和 chrome webRTC 能识别 VPN 后的真识 ip |
 | 22 OceanSea 2019-12-15 07:54:29 +08:00 能写专利的写专利,不能写得就任由同行抄 |
 | 23 alexkkaa 2019-12-15 09:12:35 +08:00 via Android 某些关键信息不登录就不给看。注册用户要真实信息,护照之类的。统计每个登录用户的访问记录,如果某个用户每天访问太多就无疑是爬虫。 现在有一些基于指纹,还有判断是用户 ip 还是 dc ip 的判断服务。不知道他们提不提供判断地理位置的服务。可以试试。 防一些小白的话就屏蔽包含 zh 的 header 请求,或者给他返回假数据。还有一个绝招就是把 js 混淆,ajax 请求全部加密。即使他拿到 ajax 返回的数据他也解密不了。这种方法要求屏蔽 headless 的无头爬虫 |
 | 24 eason1874 2019-12-15 09:40:54 +08:00 说要进 GFW 的是在搞笑,这跟限制 IP 访问就是一个效果,客户端用个国外 IP 代理就解决了。不要这么做,浪费表情,还可能惹麻烦。 有意抄你你怎么防都防不住,请求信息总共就那么多,都是按规则来的,要模仿还不是分分钟的事。就算你把国内 IP 和国外服务器商的 IP 都拒绝了,做国外生意的人要找个在国外家用宽带主机来做代理也是分分钟的事。 Request 信息判断只能防住普通用户、技术小白和不是那么想抄你的技术人员,允许匿名访客访问的网页只能做到这个程度。 如果要再提高限制水平,就只能学国外厂商免费试用的套路,要求提交信用卡、账单地址甚至是指定国家的号码来接收短信来注册,注册通过了才允许访问。 |
 | 25 azuis 2019-12-15 10:22:12 +08:00 via iPhone @Buges utc +8 的国家也不少啊。除非放弃亚洲这边访客。不然新加坡,马来西亚,印度尼西亚,菲律宾都是 utc+8 的。 |
 | 26 Tink PRO 有很多办法,简单一点的 ip 地址,准确一点的 websocket,dns 也可以 或者更粗一点的,判断系统语言? |
Select Language