通過ESA的Bots防護模組,可基於行為分析與流量特徵識別,攔截惡意爬蟲對靜態資源的非法爬取,有效降低異常流量對頻寬的消耗並提升商務服務穩定性。
背景資訊
靜態資源(如音視頻、圖片、CSS/JS檔案)通常通過緩衝機制處理,不直接回源至伺服器,因此傳統防護策略主要聚焦於動態請求的Bots攻擊。然而,惡意網站可能直接引用靜態資源URL,導致頻寬和伺服器資源被異常消耗。ESA針對此類情境提供專門的安全防護策略,通過識別惡意Bots身份並攔截其訪問靜態資源的請求,有效防止爬蟲濫用緩衝資源或消耗頻寬,實現對靜態資源的主動防禦。
開啟靜態資源請求生效
為有效防止惡意爬蟲通過靜態資源盜鏈消耗頻寬或繞過緩衝機制,需預先為絕對是Bot、可能是Bot或已通過驗證的Bot設定差異化處置動作,並開啟對靜態資源請求生效功能。系統將對快取命中的靜態資源請求執行Bots行為分類策略,根據風險等級實施差異化攔截策略,同時確保合法Bots的正常抓取。
在ESA控制台,選擇網站管理,在站点列單擊目標網站。
在左側導覽列,選擇。
在簡易模式頁面,單擊絕對是Bot、可能是Bot或已通過驗證的Bot的配置,設定防護動作。
絕對是Bot:指基於阿里雲超百種爬蟲情報庫,識別出包含大量惡意爬蟲的請求。通常建議您配置攔截或滑塊挑戰。
可能是Bot:這類的請求風險較絕對是Bot相對較低,有可能包含惡意爬蟲以及其他流量。通常建議您配置觀察或在風險較高時期做滑塊挑戰。
已通過驗證的Bot:這類通常是各類搜尋引擎的爬蟲,有利於您網站的SEO最佳化。一般建議允許存取,如您不希望任何搜尋引擎爬蟲訪問您的網站時可做攔截操作。
開啟對靜態資源請求生效的開關。
建立靜態資源防護規則
通過進階模式建立防護規則集,對靜態資源設定Bots行為/特徵識別、爬蟲攔截、白名單允許存取等更精細化的防護策略。
在ESA控制台,選擇網站管理,在站点列單擊目標網站。
在左側導覽列,選擇。
單擊,根據介面提示填寫規則集名稱、選擇防護目標類型和SDK整合方式。
在如果請求匹配以下規則...地區設定匹配欄位為是否為靜態請求,匹配運算子為等於,開關設定為
,則執行…地區根據實際需要選擇對應的防護策略進行配置。
在生效時間地區,單擊操作列的編輯,設定生效時間後單擊確定。
完成配置後單擊確定。