现在是重新评估机器人对策的时候了

对于依赖基于 WAF 的 IP 拒绝列表来缓解机器人威胁的组织来说，这项任务同样毫无希望。 有一些服务可以为机器人创建者提供数千万个住宅 IP 地址，旨在绕过机器人检测。 这些服务被宣传为轮换住宅代理；机器人向代理发送 http 请求，就像许多企业浏览器通过转发代理发送请求一样，并且该服务不断轮换用于向网站或 API 发送请求的公共 IP 地址。过去，机器人通常使用数据中心代理，通常来自云服务，这些代理众所周知且易于识别。 然而，这些新的代理服务使用与您的客户来自同一地理区域的住宅 IP 地址。 由于 ISP 的 NAT 作用，每个 IP 地址可以同时代表一个机器人或一个有效客户，因此如果不拒绝真正的客户，阻止所有这些 IP 地址是不可行的。

更进一步， ZenRows 、 ScrapFly和ScrapingBee等新商业服务让网页抓取变得像调用 API 一样简单。这些服务将全权负责为您绕过机器人防御。 虽然这些基于 API 的服务专注于数据抓取（这在美国和欧盟都是合法的），但犯罪分子可以在暗网上使用类似的服务，执行更邪恶的机器人攻击，例如撞库攻击。

除了商业服务外，还有一些开源项目正在解决机器人绕过问题。 Puppeteer 是一款流行的 node.js 自动化和测试工具，其隐形插件可使 Puppeteer 绕过检测。 一群活跃的开发人员在GitHub上维护该项目，并在已知机器人防御检测到它时发布更新。 根据其文档，“由于这个猫捉老鼠游戏尚处于起步阶段并且节奏很快，因此插件尽可能保持灵活性，以支持快速测试和迭代。” 一个类似的库， undetected-chromedriver ，专门针对Python开发人员。 本着开源精神，这些项目的目的是保持网络开放，以便开发人员针对应用程序运行自动化。 不幸的是，这种功能很容易被犯罪分子利用。

随着越来越多的组织参与创建开源项目和商业服务，参与绕过机器人防御的开发人员学习和共享信息。 这些说明引导读者完成对检测工具的 JavaScript 进行反混淆的步骤，并解释这些工具如何打包其数据以传输到其检测服务。 通过对客户端代码进行逆向工程，这些开发人员了解了检测工具的工作方式。 例如，ZenRows 的一名开发人员分享了他对窗口大小以及机器人检测服务捕获不一致的方式的了解：