印度封了59个中国App,TikTok、微信、UC浏览器全在名单里。我客户那个出海工具的业务流直接断了,凌晨两点电话打过来,声音都是抖的。我一边安抚他说“有预案”,一边心里骂娘,这他妈算什么预案,之前做的IP池和User-Agent轮换在这种国家级的墙面前跟纸糊的一样。
真正的冲击不是技术层面的,是认知层面的。我们这帮搞爬虫和自动化的,过去五年都在跟反爬策略斗,跟验证码斗,跟频率限制斗,觉得自己挺牛逼。但地缘政治一抬手,直接掀桌子。你精心维护的代理IP段,人家运营商一个指令就能给你整段标记;你模拟的浏览器指纹,在人家国家级的流量审计设备眼里可能就是一堆异常参数。这不是技术对抗,这是降维打击。
但开发者不能认输,至少我不能。我的脚本必须活下来。既然环境在变,我就得让它学会“自愈”。这里的“自愈”不是科幻,是一套极度务实的生存策略。
第一层,代理网络必须彻底“去中心化”和“平民化”。不能再依赖那几个知名的商业代理服务商了,他们的IP段太显眼。我转向了分布式住宅代理,说白了就是真人的家庭宽带IP。通过一些渠道,能搞到全球各地的动态住宅IP资源,成本不低,但胜在隐蔽。脚本里我嵌入了自动测试模块,每批IP启用前先访问几个目标地区的正常网站,测延迟、测可用性、测是否被污染。同时,脚本要能自动识别“连接重置”、“TCP阻断”这种中国特色封锁,并立即标记该IP为“污染”,24小时内不再使用。
第二层,指纹伪装要深入到浏览器引擎层面。光换个User-Agent和屏幕分辨率没用。我用了Puppeteer-extra加上Stealth插件,但还得做定制。每次启动虚拟浏览器实例,我会用JS注入的方式,随机化WebGL Vendor/Renderer、Canvas指纹、AudioContext指纹,甚至模拟不同的硬件并发数。时区、语言、字体列表,全部跟代理IP的地理位置严格匹配。一个来自印度孟买的住宅IP,它的浏览器指纹里就不该出现中文系统字体。
第三层,也是最关键的一层:行为模式“拟人化”和“动态化”。脚本不能像个机器一样定时定点、固定节奏去请求。我写了个“行为学习”模块,其实原理不复杂,就是先采集一批目标地区真实用户(通过公开数据或合作方)的访问日志,分析他们的点击流、页面停留时间、滚动速度、鼠标移动轨迹(哪怕是模拟的)。然后我的脚本在运行时,会从这些行为模式库里随机抽取一种,并加入随机抖动。访问间隔不是固定的5秒,可能是3秒到120秒之间的一个正态分布。有时候模拟用户中途离开(长时间挂起页面),有时候模拟快速浏览后关闭。目的就是让整个流量看起来,是一群真实的、分散的、行为各异的印度网民,而不是一个来自数据中心的程序。
搞完这些,天都快亮了。身心俱疲,但脑子停不下来。2020年,我31岁,带着一个小团队,深陷在各种甲方定制化需求的交付泥潭里。赚的钱是比以前多了,但感觉离“创造”越来越远,每天都在救火,在应付,在给别人的梦想填坑。今天这个印度封禁事件,反而像一盆冰水浇下来。技术这条路,没有一劳永逸的护城河。你去年赖以生存的爬虫框架,今年可能就因为Chrome的一个协议更新而报废;你精心设计的商业模型,可能明天就被一纸政令击穿。
开发者得像水。不是那种温和的、滋养万物的水。是那种无孔不入的、冰冷刺骨的、为了流动可以改变任何形态的水。哪里有缝隙,就钻向哪里;遇到石头,就绕过去,或者积蓄力量,等它风化。我的脚本必须拥有这种“水性”,它得能感知环境的硬度,调整自己的形态和流速。今天是为了绕过印度的封锁,明天可能是为了应对欧盟的GDPR,后天可能是别的什么。这种“自愈”能力,本质上是一种面向不确定性的生存本能。
客户那边的数据流在天亮后终于重新接上了,虽然慢,但稳定。他松了口气,说了很多感谢的话。我盯着监控面板上那些代表成功请求的绿色小点,像黑夜里的萤火虫,微弱,但持续地亮着。我知道,这场猫鼠游戏升级了,而且永无止境。作为一只老鼠,我能做的,就是让自己跑得更快,钻得更深,变得更难以预测。自由,从来都是钻出来的缝隙。
