今天又被封了三个号。不是那种简单的IP封禁,是账号级别的直接风控,连带着之前用这个号登录过的所有设备指纹都被标记了。这意味着我花了两周时间养的这批号,连带那套花了小一万买的“指纹浏览器”环境,全废了。
指纹浏览器这东西,2018年下半年开始火起来的。原理说白了就是伪造浏览器环境,让平台服务器以为你每次登录都是一台全新的、真实的电脑。Chrome的WebGL、Canvas、AudioContext、字体列表、屏幕分辨率、时区、语言……这些参数组合起来,理论上能生成一个独一无二的“指纹”。我们当时搞法就是,用Python的selenium或者puppeteer驱动这些修改了底层参数的浏览器实例,每个实例对应一个独立的代理IP,模拟真人操作。一开始效果拔群,批量注册、养号、发帖、爬数据,跟开了挂一样。
但平台不是傻子。尤其是那几个大厂,2019年这反爬体系进化得跟军备竞赛似的。你以为你伪造了所有静态指纹参数?人家开始监测动态行为链了。你的鼠标移动轨迹是不是太“贝塞尔曲线”了?点击坐标是不是每次都精准落在按钮中心像素上?页面停留时间是不是严格符合正态分布?滚动速度是不是一个恒定值?甚至,你通过WebRTC泄露的真实内网IP和你代理IP的地理位置偏差,都可能成为风控点。
最恶心的是“设备集群识别”。你一个IP下面,哪怕指纹全改,但如果同时有几十个“不同设备”在规律性地访问同一个接口,行为模式高度相似,这本身就是一个巨大的异常信号。大厂的风控模型现在都是图神经网络,不只看单个节点,更看节点之间的关联。你一个号出事,跟你这个号在同一IP段、用过相同Cookie、甚至只是相似时间注册的“邻居号”,全可能被连坐。这就是我早上遭遇的。
以前那种靠换User-Agent、加个随机延迟就横着走的时代,真的一去不复返了。现在搞点数据,成本高得吓人。你要对抗的不是一两个验证码,而是一整套基于大数据和机器学习的异常检测体系。你需要真实的住宅代理IP(贵),需要能模拟真人输入和鼠标轨迹的底层驱动(更难),甚至需要研究各个版本安卓或iOS系统的底层API调用特征,去模拟真机。
这感觉就像你是个拿着铁锹想挖墙脚的,结果对面一夜之间筑起了钢筋混凝土的城墙,上面还架满了红外热成像仪和动态传感器。你所有的“技巧”,在对方绝对的技术和资源碾压面前,显得特别可笑。野路子的生存空间,正在被这些庞然大物用钱和技术,一寸一寸地压扁。
更焦虑的是,这种高墙不仅仅在防爬虫。它意味着整个互联网的“可编程性”在降低。API越来越封闭,网页端的数据越来越藏在复杂的JS渲染后面,交互逻辑越来越重。我们这些靠技术“自动化”吃饭的人,能下嘴的地方越来越少了。你费尽心思绕过一道墙,发现后面还有十道,而且一道比一道高。这种无力感,比单纯的技术难题更折磨人。
团队里的小年轻还在抱怨为什么这个月的数据量又没达标。我没法跟他们解释,我们面对的已经不是技术问题,而是一场不对等的战争。我们手里的武器,在对方眼里可能跟玩具差不多。或许,该想想别的路了?可除了这个,我还会什么?这种技能焦虑,在2019年的夏天,像汗一样黏在身上,甩都甩不掉。
