放假通知
2月29日、2月30日、2月31日、3月1日、3月2日连续放假五天,3月3日起正常上班,请大家规律生活,按时休息,特此告知。
2月29日、2月30日、2月31日、3月1日、3月2日连续放假五天,3月3日起正常上班,请大家规律生活,按时休息,特此告知。
偶遇一个小 bug,blame 一下发现 bug 来自 11 年前的 commit 。😅😅
软件工程魅力时刻。😅😅
开源拖拉机魅力时刻。😅😅
软件工程魅力时刻。😅😅
开源拖拉机魅力时刻。😅😅
阿里 AI 小爬虫用请求击落 MediaWiki 站点。
时不时就有 AI bot 来爬我托管的 osm.bio (cpu 高于 10% 的都是 AI bot 加快爬取速度造成的)
爬内容页就算了吧,这些 bot 像是 zz 一样,怼着一些奇奇怪怪的非内容页爬,唯一的作用就是拿到一堆没用的页面,然后锻炼我的 CPU。🤪🤪
最近 7 天,AI bot 确实越来越猖獗了。
真的大量(80~99%)来自 Alibaba 的 ip。
附赠节能 ip 桌子:https://www.enjen.net/asn-blocklist/index.php?asn=45102&type=iptables
时不时就有 AI bot 来爬我托管的 osm.bio (cpu 高于 10% 的都是 AI bot 加快爬取速度造成的)
爬内容页就算了吧,这些 bot 像是 zz 一样,怼着一些奇奇怪怪的非内容页爬,唯一的作用就是拿到一堆没用的页面,然后锻炼我的 CPU。🤪🤪
最近 7 天,AI bot 确实越来越猖獗了。
真的大量(80~99%)来自 Alibaba 的 ip。
附赠节能 ip 桌子:https://www.enjen.net/asn-blocklist/index.php?asn=45102&type=iptables
yzqzss|一座桥在水上's Note
阿里 AI 小爬虫用请求击落 MediaWiki 站点。 时不时就有 AI bot 来爬我托管的 osm.bio (cpu 高于 10% 的都是 AI bot 加快爬取速度造成的) 爬内容页就算了吧,这些 bot 像是 zz 一样,怼着一些奇奇怪怪的非内容页爬,唯一的作用就是拿到一堆没用的页面,然后锻炼我的 CPU。🤪🤪 最近 7 天,AI bot 确实越来越猖獗了。 真的大量(80~99%)来自 Alibaba 的 ip。 附赠节能 ip 桌子:https://www.enjen.net/asn-…
正常用户很少去点那些不常用的查询功能。
但是这些 AI bot 爬虫可一点都不 AI,得劲地点一切能点的东西,倒查页面历史到 1970。
平均每 request 造成的 load 比人类高许多。
我之前懒得管,反正没造成宕机,但是最近7天阿里不要脸了,跟 CC 没啥两样。但凡它做点 feedback loop 退避机制也好。
最近1天的 CPU 占用中位数是 30%,屏蔽阿里ASN后,现在只有 7% 的占用。
这还只是一个不知名的小站。并且服务器上还有其它网站和东西在跑。
但是这些 AI bot 爬虫可一点都不 AI,得劲地点一切能点的东西,倒查页面历史到 1970。
平均每 request 造成的 load 比人类高许多。
我之前懒得管,反正没造成宕机,但是最近7天阿里不要脸了,跟 CC 没啥两样。但凡它做点 feedback loop 退避机制也好。
最近1天的 CPU 占用中位数是 30%,屏蔽阿里ASN后,现在只有 7% 的占用。
这还只是一个不知名的小站。并且服务器上还有其它网站和东西在跑。
This media is not supported in your browser
VIEW IN TELEGRAM
受 anubis 启发,今天想出了个怪点子:用纯 css 来反 bot,无需 JS!
思路是用 css 的动画,让浏览器在 3s 内按某种顺序请求几个 1x1 gif。
服务端如果发现这几个 gif 的请求顺序符合预期,则放行后续请求。
第 4s 时一样用 css 动画来隐藏占位图,并请求一张图,服务端根据是否放行,返回开心脸或哭脸图。
第 6s 时 html http-equiv="refresh" 自动刷新。
还别说,实际效果感觉行!
防下简单的非 headless 的 AI bot 应该还是很轻松的。
思路是用 css 的动画,让浏览器在 3s 内按某种顺序请求几个 1x1 gif。
服务端如果发现这几个 gif 的请求顺序符合预期,则放行后续请求。
第 4s 时一样用 css 动画来隐藏占位图,并请求一张图,服务端根据是否放行,返回开心脸或哭脸图。
第 6s 时 html http-equiv="refresh" 自动刷新。
还别说,实际效果感觉行!
防下简单的非 headless 的 AI bot 应该还是很轻松的。
yzqzss|一座桥在水上's Note
受 anubis 启发,今天想出了个怪点子:用纯 css 来反 bot,无需 JS! 思路是用 css 的动画,让浏览器在 3s 内按某种顺序请求几个 1x1 gif。 服务端如果发现这几个 gif 的请求顺序符合预期,则放行后续请求。 第 4s 时一样用 css 动画来隐藏占位图,并请求一张图,服务端根据是否放行,返回开心脸或哭脸图。 第 6s 时 html http-equiv="refresh" 自动刷新。 还别说,实际效果感觉行! 防下简单的非 headless 的 AI bot 应该还是很轻松的。
GitHub
GitHub - yzqzss/csswaf: A CSS-based NoJS Anti-BOT WAF (Proof of Concept)
A CSS-based NoJS Anti-BOT WAF (Proof of Concept). Contribute to yzqzss/csswaf development by creating an account on GitHub.
yzqzss|一座桥在水上's Note
开了: https://github.com/yzqzss/csswaf demo 站: https://csswaf-demo.othing.xyz
浏览器的怪癖真多。
Chrome 为了加速真是不择手段,会预加载可视范围外十万八千里的非 0x0 px 的不可见 lazy-loading img…… 导致触发了蜜罐(
Chrome 为了加速真是不择手段,会预加载可视范围外十万八千里的非 0x0 px 的不可见 lazy-loading img…… 导致触发了蜜罐(
yzqzss|一座桥在水上's Note
开了: https://github.com/yzqzss/csswaf demo 站: https://csswaf-demo.othing.xyz
Please open Telegram to view this post
VIEW IN TELEGRAM
yzqzss|一座桥在水上's Note
这么快就收到第一个 issue 了,所有浏览器都能用。🛍
Please open Telegram to view this post
VIEW IN TELEGRAM