00 00 00:00:00 周一
提交收录

怎么利用referer伪造来达到防盗链与反盗链的目的

更新时间:2018-12-11 16:11:00 内容编辑:海静 所属分类:建站经验

资源介绍

  一、Referer是什么?用途?

  二、盗链是什么?危害?

  三、防盗链小技巧

  四、反防盗链

  五、利用好盗链,也是一门生意!

SEO服务

  一、Referer是什么?用途?

  HTTP Referer是header的一部分,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页面链接过来的,服务器基此可以获得一些信息用于处理。

  用途:

  1、获取访问来源,统计访问流量的来源和搜索的关键词

  比如从我主页上链接到一个朋友那里,他的服务器就能够从HTTP Referer中统计出每天有多少用户点击我主页上的链接访问他的网站。

  像CNZZ、百度统计等可以通过Referer统计访问流量的来源和搜索的关键词(包含在URL中)等等,方便站长们有针性对的进行推广和SEO。

  2、防盗链

  通过分析访问源,拒绝非法访问,主要是图片和网盘服务器使用的较多。

  二、盗链是什么?危害?

  盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。

  危害:

  1、大量的盗链,会消耗原生网站带宽,导致服务器运行缓慢,影响原生网站用户体验。如果没有良好的防盗链技术,一般服务器数周之内就会被盗链拖垮,并且不能给原生网站带来任何流量。

  2、版权被无偿使用,侵犯了著作人的权益。

  3、倒链一旦猖獗,会严重阻碍了互联网的健康发展,没人愿意为正版付费,自然也就没有了正版生长的土壤,最后受害的还是广大网民。

SEO服务

  三、防盗链小技巧

  本文主要介绍两种方法做防盗链处理:

  1、nginx配置方式防盗链

  主要是利用valid_referers指令防盗链,例如防止未经允许的网站盗链图片、文件等。

  因为HTTPReferer头信息是可以通过程序来伪装生成的,所以通过Referer信息防盗链并非100%可靠,但是,它能够限制大部分的盗链

  该指令"valid_referers"的语法:

  valid_referers [none|blocked|server_names] ...

  默认值:none

  使用环境:server,location

  该指令会根据Referer Header头的内容分配一个值为0或1给变量$invalid_referer。

  如果RefererHeader头不符合valid_referers指令设置的有效Referer,变量$invalid_referer

  将被设置为1.

  该指令的参数可以为下面的内容:

  none:表示无Referer值的情况。

  blocked:表示Referer值被防火墙进行伪装。

  server_names:表示一个或多个主机名称。从Nginx0.5.33版本开始,server_names中可以使用通配符"*"号。

  实例演示:

  修改nginx.conf:

  第一行:

  location ~ .*.(gif|jpg|jpeg|png|bmp|swf)$

  其中“gif|jpg|jpeg|png|bmp|swf”设置防盗链文件类型,自行修改,每个后缀用“|”符号分开!

  第三行:

  valid_referers none blocked *.http://sosogoto.com sosogoto.com;

  就是白名单,允许文件链出的域名白名单,自行修改成您的域名!*.http://sosogoto.com这个指的是子域名,域名与域名之间使用空格隔开!

  第五行:

  rewrite ^/ http://qita/cdn/404.jpg;

  这个图片是盗链返回的图片,也就是替换盗链网站所有盗链的图片。这个图片要放在没有设置防盗链的网站上,因为防盗链的作用,这个图片如果也放在防盗链网站上就会被当作防盗链显示不出来了,盗链者的网站所盗链图片会显示X符号。

  这样设置差不多就可以起到防盗链作用了,上面说了,这样并不是彻底地实现真正意义上的防盗链!

  我们来看第三行:valid_referers 里有 “none blocked”,我们把“none blocked”删掉,改成如下配置:

  这样您在浏览器直接输入图片地址就不会再显示图片出来了,也不可能会再右键另存什么的。

  第五行:

  rewrite ^/ http://qita/cdn/404.jpg

  这个是给图片防盗链设置的防盗链返回图片。

  如果文件也需要防盗链下载,把第五行:

  rewrite ^/ http://qita/cdn/404.jpg

  改成一个链接,可以是您主站的链接,比如把第五行改成:

  rewrite ^/ http://www.sosogoto.com;

  这样,当别人输入文件下载地址,由于防盗链下载的作用就会跳转到您设置的这个链接!

  最后,重启nginx生效!

  2、Fileter拦截器方式防盗链

  通过在应用程序设置Fileter拦截器的方式,对每一个需要处理的请求分别动态处理。

  本文采用正则表达式的范式对请求链接做辨别,另本文效仿Spring的filter做法,加了个shouldBeFilter的方法。考虑到,比如假如你要拦截*.Action的一部分方法,而不是全部时,我们就可以先看看请求的URL是否shouldBeFilter,如果不是的话,那么就直接放行,在效率上有所提高。

  代码如下:

  文件

  /WEB-INF/classes/preventLink.properties

  用于限制的url正则,用逗号分隔多个

  url.limit=/.+/index/!.+//.action.*,/index/!.+.action?.+

  这里是Http Refer是否以指定前缀开始,前两个是本地调试用的

  url.allow=http://127.0.0.1,http://localhost,http://www.csdn.net

  这里是被盗链后,response到以下的错误页面

  url.error=http://www.csdn.net/error.html

  这篇文章是拦截所有的请求的,他fileter中的url-pattern是/*,这样的话,连/css

  /jpg等都话被filter拦截到,要么在里面进行shouldBeFilter的判断,要么就在url-pattern中缩写拦截范围,这个要看具体你要拦截什么样的请求,另外图片防盗链,下载反盗链也是一样的原理的。

  四、反防盗链

  攻防相生相克,此消彼长,没有什么是绝对的安全,有的只是付出的成本和代价与所得利益的权衡。

  上文介绍了防盗链的基本原理,以及具体实现方法。如果要反防盗链,自然要逆向操作了,其基本原理也就是伪造Referer。

  列举2个伪造Referer的方法:

  1、使用反盗链js

  调用方式:

  showImg('图片地址');

  关于此类盗链的防御方法,有以下3点:

  1、不允许referer为空(不建议,因在某些开启隐私模式的浏览器中,或https页面引用下,referer是空的)

  2、地址变更(lighttpd的是根据有效时间,nginx的根据是md5)

  3、登录校验(如必须登录网站帐号后才能访问)

  2、 通过过滤器修改Referer

  发送请求时,通过过滤器对每次请求做处理,主要是设置Referer的值。

  对于不同语言开发者而言去操作这个http中的request的referer这个值得方式是不一样的,就比如说servlet来处理这个referer的话就是先得到这个http请求request中的referer,通过一个拦截器的方式去拦截这个请求,然后对这个referer值进行修改。

  那么如何修改呢?

  肯定是修改为盗链网站的域名。用一个拦截器去请求,或者是让请求指向特定的请求地址,在特定的请求地址中对这个referer进行包装。

  比如我想盗链http://www.aaa.com上的一个图片,这个图片的请求地址是http://www.aaa.com/image/1.jpg。那么在请求的时候我们可以让请求指向http://www.ourserver.com/handleRequest.asp?url=www.aaa.com/image/1.jpg中,在这个处理器中对referer进行重新的包装。

  怎么包装呢?

  就是将referer的值制定为http://www.aaa.com。这样http://www.aaa.com在接到图片请求地址的时候就会去判断请求中的referer值,这时,因为我们对referer值已经进行了重新的包装,就可以通过http://www.aaa.com的校验,盗链成功!

  我们用一段php的代码加以演示:

  以上案例的原理是sock构造http头来senddata。其他语言什么的比如perl也可以,

  目前比较简单的防御伪造referer的方法是用验证码(Session)。

  现在有一些能防盗链软件的商业公司比如UUDOG,linkgate,VirtualWall什么的,都是开发的应用于IIS上面的dll。

  有的是采用cookies验证、线程控制,有的是能随机生成文件名然后做URL重写。有的方法能的确达到不错的效果。

  所以,以上盗链的技巧,还是能破解的。

  Javascript document.referer来路判断

  上面提到的伪造referer的方法都是通过服务器端的脚本来实现的,但它们并不能欺骗客户端。而JS是在客户端执行的,它并不会理会服务器端的headers信息,

  所以,利用js的 document.referer 方法可以准确地判断网页的真实来路。

  几乎所有的第三方统计不约而同地采用了

  document.referer 来判断来路,为什么?正是基于 js 下的 referer来路

  是不可伪造的(不是100%啊,下面就有例子)。即使在服务器端成功地伪造了referer的网页脚本,在第三方统计里也是无法被统计到的,

  原因正是由于这些三方统计采用了 document.referer 来判别真实的来路。 所以,为了对抗虚假的 referer 伪造信息,我们只需要利用 js 的 document.referer 来判别,就可以将伪造的信息拒之门外,从而更好的保护站内资源。

  JavaScript 伪造 Referer 来路方法

  因为服务器端脚本可以轻易伪造referer,所以各大统计站点cnzz,百度统计,ga,51la等都是通过js来判断来路,不过现在有个方法js的referer也可以伪造了。

  WinHttp.WinHttpRequest.5.1 是 msxml 4.0 的底层对象,也就是说 XMLHTTP/ServerXMLHTTP 也是在它的基础上封装而来。用 WinHttpRequest 发的请求,Fiddler 监测不到。

  Google一下发现它居然用可以成功伪造所有 http 请求的 header 信息!下面的代码通过伪造 referer 的值,假装从百度首页提交一个表单到指定的 url 去:

  Referer是不安全的,客户端可以通过设置改变 Request中的值,尽量不要用来进行安全验证等方面。

  下面介绍默认情况下Referer可能出现为空的场景:

  1、直接输入网址或通过浏览器书签、收藏夹访问

  2、单击’主页’或者自定义的地址

  3、https—>http

  由于FF提供了很强大的自定义参数设置功能,所以我们可以通过about:config页面修改以下两个选项的默认设置:network.http.sendRefererHeader

  (default=2),设置Referer的发送方式,0为完全不发送,1为只在点击链接时发送,在访问页面中的图像什么的时候不发送,2为始终发送。network.http.sendSecureXSiteReferrer

  (default=true),设置从一个Https访问到另外Https页面的时候是否发送Referer,true为发送,false为不发送。

  4、使用 JavaScript 的 Location.href 或者是 Location.replace()

  5、 当然你可以通过在Chrome或者Firefox浏览器中安装一些插件去除Referer甚至进行Referer欺骗。如果是自己写爬虫的话,Referer是完全受我们掌控的,想怎么改就怎么改。

  6、使用html5中noreferrer

  noreferrer

  noreferrer

  很明显IE8以及以下肯定是不支持的chrome正常点击的话没问题,但是假如是右击链接然后重新窗口或标签打开,同样会传递referer。

  7、使用 meta refresh 重定向的网址,这个会多出来个跳转页面,IE8支持,chrome同样携带referer。

  8、在PHP中可以通过预定义变量$_SERVER获取HTTP的Referer

  即:$_SERVER['HTTP_REFERER']

  五、利用好被盗链,也是一门生意!

  自己辛苦租了服务器,结果为人作嫁,于是就形成了一个恶性循环,自己使用本地资源,那么就被人盗链,还不如自己也去盗链别人的,所以越来越多的人放弃了使用自己的服务器资源,而去盗链别人的资源。

  那么有什么办法可以合理的利用这些疯狂的盗链者的流量呢?

  可以采取如下方法:

  1、 按月租赁服务器,这个样子费用比较低,一个月几百块钱,也可以租赁VPS。

  2、 找寻一些比较热门的下载资源,挑选出小于5M的资源,单个资源越小,被下载的总人数就越多。

  3、 制作一个论坛,然后每个帖子是一个下载资源,直接给出的就是资源的直接目录。

  4、 对每个资源都进行压缩包装,在压缩以前,在文件里面加上你的广告页快捷链接,命名为"免费电影.html"。

  5、 不断的添加新资源,每个资源都进行压缩包装。

  6、 这些资源很快就会被别人盗链了,因为网络上有大量的扫描软件,自动扫描资源。

  这些软件每天整体被下载次数要超过10万次,别人盗链你一次,就给你把广告页宣传出去一次,所以你的广告页,每天都会为几万人所浏览,一般情况下,一台VPS虚拟服务器,一天可以带来5万IP。

  这种流量质量不是很高,使用这些流量做短信注册类广告,平均每IP一分钱左右的收入,5万IP约有500块收入,VPS一个月的租赁费是350元。

  名词解释:

  1、VPS

  VPS为虚拟服务器的意思,就是把一台服务器虚拟成多个服务器操作界面,出售给多个需要服务器的人,VPS和独立服务器的操作界面完全一样,也是独立IP的,VPS比独立服务器的稳定性要差一些,

  比一般网站空间容量要大一些,同时还是独立IP,可以开通多个网站。VPS主要用于制作下载站以及一些流量10万IP以上30万IP以下的网站。

  2、热门下载资源查询

  在迅雷站上,有资源下载排行榜,可以根据这个排行榜查看目前比较热门的下载资源列表。

转载请注明出处。