- 网页盗链的定义及方式
盗链是指服务提供商自己不提供服务的内容,通过技术手段绕过其它有利益的最终用户界面(如广告),直接在自己的网站上向最终用户提供其它服务提供商的服务内容,骗取最终用户的浏览和点击率。受益者不提供资源或提供很少的资源,而真正的服务提供商却得不到任何的收益。
网站盗链会大量消耗被盗链网站的带宽,而真正的点击率也许会很小,严重损害了被盗链网站的利益。早期的盗链一般是一些比较小的网站盗取一些有实力的大网站的地址,盗链的目标比较有针对性,现如今,一些大型的网站也已经开始把盗链的目光锁定在了整个互联网上,窃取整个互联网上的其它机器的带宽。常见的盗链有以下几种:图片盗链、音频盗链、视频盗链、文件盗链。
根据盗链的形式的不同,可以简单地把盗链分成两类:常规盗链和分布式盗链。常规盗链比较初级,同时也比较常见,具有一定的针对性,只盗用某个或某些网站的链接。技术含量不高,实现也比较简单,只需要在自己的页面嵌入别人的链接即可。分布式盗链是盗链的一种新的形式,系统设计复杂,难度相对较大。这种盗链一般不针对某一个网站,互联网上任何一台机器都可能成为盗链的对象。服务提供商一般会在后台设置专门程序(Spider)在Internet上抓取有用的链接, 然后存储到自己的数据库中。而对于最终用户的每次访问,都将其转化为对已有数据库的查询,被查询到的URL 就是被盗链的对象。由于对文件的访问已经被浏览器屏蔽掉了,所以最终用户感觉不到所访问的链接是被盗取的链接。
- 盗链防护的方法
通过对请求的来源进行识别并制定防护策略能够有效阻止盗链的发生,即判断引用(来源)地址。
判断引用(来源)地址,就是判断浏览器请求时HTTP报头的Referer字段的值。以XX移动的网站访问进行实际说明。
- 在百度中搜索XX移动的主页并进行访问:
通过百度(www.baidu.com)搜索XX移动的主页,并点击百度的搜索结果,打开XX移动主页。这时,真正向XX移动发送请求的来源是百度。请看以下示意图:
可以立即得到搜索结构,第一行就是XX移动主页的连接。点击此链接,进入XX移动的主页,并通过客户端抓包工具分析HTTP请求,如下图:
可以清晰地看到,请求的主机是www.sh.chinamobile.com,请求来源即Referer报头值是百度。
试想,如果不是百度,而是某一个非法网站(比如www.hacker.com)盗用XX移动网站的图片、视频、音频等网络资源,那么Referer报头值将成为www.hacker.com。
2、进入XX移动主页后,点击浏览站内的资源,如下图所示:
此时,访问站内的某一个图片,其URL 为“/v2009/images/but_03.gif”,Referer报头值是www.sh.chinamobile.com,说明访问这幅图片的请求来源是XX移动的主页。
3、中国移动总站进入XX移动主页
对这个例子进行引申,比如从中国移动总公司的站点点击进入XX移动的分站点,如下图所示:
此时中国移动总站的网页为http://www.chinamobile.com/index_yl_2684.htm,点击XX移动的连接,将在新窗口中打开XX移动的主页,此时通过分析HTTP请求可以得到一下结果:
可以清晰地看到,请求的主机是www.sh.chinamobile.com,请求来源即Referer报头值是http://www.chinamobile.com/index_yl_2684.htm。
每个页面由多幅图片、多种音、视频资源组成,每此请求这些资源都会产生上述的请求报头及相应的报头值。只要对请求来源进行严格的限制,就能有效阻止盗链的发生,保护网站资源的合法版权。
- 梭子鱼web应用防火墙防盗链机制
梭子鱼web应用防火墙提供强大的应用层策略设置,能够针对每一个HTTP请求以及每一个URL(即页面资源)进行严格的排查,通过对每一个HTTP请求报头的检查,能够有效阻断盗链攻击,保护XX移动网站资源的合法版权不遭非法网站盗用。
通过梭子鱼web应用防火墙的URL ACL(即应用访问控制)功能,能够对网页资源进行合法访问的控制,如上述盗链攻击原理及方法所述,只要在梭子鱼的URL ACL上设定相应的策略,就能阻断盗链攻击,具体步骤如下:
- 指定要防护的对象(资源)
通常情况下,要保护的是整个网站的资源,并非某一个特定的资源(如有特殊情况,可以针对某一个特定资源,如图片、音频、视频等文件进行针对性防护)。这样只要指定网站的主机名即www.sh.chinamobile.com,并指定所有URL,即“/*”,就能对XX移动的整个网站资源进行全面的监控。
- 指定允许访问网站资源的来源URL
为了达到良好的盗链防护效果,梭子鱼推荐使用主动防护(白名单匹配)的概念对网站资源进行防护,比如只允许某些网站(如百度、Google、中国移动集团的网站)能够访问网站资源,其他网站均不能访问。这样,就能对网站资源盗用进行强有力的控制。
设置举例,只允许百度、Google和中国移动总站才能访问XX移动的资源,其他网站的请求均阻断。
策略说明:
Host Match:匹配网站的主机,此处为“www.sh.chinamobile.com”
URL Match:防护的URL(即对象或资源)。此处为“/*”,表示所有资源
Extended Match:设置Referer报头检查策略,此处为
“(Header Referer neq www.chinamobile.com) || (Header Referer neq www.baidu.com) || (Header Referer neq www.google.com.cn)”
即Referer报头不为www.chinamobile.com、www.baidu.com或www.google.com.cn时的匹配条件。
Action:Deny and Log,表明条件匹配时阻断请求并将其记录在阻断日志中。
此策略的整体含义是:如果访问XX移动网站内容的来源不是来自百度、Google或中国移动总站,那么请求将被阻断,并能够在阻断日志中进行查询。
更多邮件系统、反垃圾邮件网关、邮件归档、负载均衡、web应用防火墙、上网行为管理等产品的介绍请登录公司产品中心了解详情。
本文由:案例介绍于(2011-10-13)发表了关于web应用防火墙在运营商网站盗链防护案例的文章 。如转载请注明出处:http://www.cdcy-mail.com如果您对此感兴趣,可以通过以下联系方式与我们联系:
