双小刚博客经常被问到,什么是Cloak? 我是否需要Cloak? 应该怎么Cloak? 那我们今天就来揭秘一下affiliate们平时需要了解的cloaking小秘密!
什么是Cloaking?
简单来说,cloaking就是伪装你的链接,让目标受众看到特定的页面。这里有两个含义,第一就是只是符合你要求的用户才能看到特定的页面,第二就是不符合你要求的人看到的是别的页面。再说白点,就是把你不希望来的流量跳转到别的地方去。
为什么要Cloaking?
- 跑黑帽offer。广告平台,比如说facebook / adwords是禁止跑菠菜类offer,这时应用cloak技术,当facebook / Google检查人员或者Spider程序核查时,展示正常的符合他们投放要求的落地页面。
- 反Spy。Spy工具很多都是用爬虫模拟真实用户去抓你的Banner或者Landing Page。这时可以根据这些爬虫的特征设计Cloak程序,让爬虫只能抓到假页面,这样可以有效防止实际推广真页面的泄露。
Cloaking会有哪些弊端?
- 容易封账户,需要准备强大的账号资源。
- 法律问题:有原则, 不能挂马播毒等。
- 点损率高:Cloak系统不是万能的.系统错判导致点损高. 适度的点损是有利于控制ROI水平,一般的Cloak系统应该都会有流量比例分割设置,比如10%/90%的流量比例,可以有效降低被抓住的机率。
如何Cloaking?
Cloaking的技术隐蔽性决定了Affiliates的获利周期。那主要有哪些常见的cloaking方式呢?
- User Agent Cloaking
当用户访问网站时,每个浏览器都会发送一个叫user agent的参数代码来标明用户使用的哪种浏览器。比如说firefox的User agent就如下所示:
Mozilla/5.0 (Windows NT 6.1; WOW64; rv:30.0) Gecko/20100101 Firefox/30.0
现在,通过简单的模式匹配伪装脚本,可以验证user agent以确定要显示哪个版本的网站,是真实版本的还是隐蔽版本的。这在PHP或CGI上效果最佳,因为该代码在呈现HTML之前先执行,但是该隐藏方法也可以使用javascript归档。
- Referrer Cloaking
此方法类似于user agent的伪装,“ referer”字符串是当你点击一条连接时,浏览器发送出来的。下面的代码是展示了一个标头数据包,他是从浏览器发送到服务器的:
GET /url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved= HTTP/1.1
Host: www.google.de
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:43.0) Gecko/20100101 Firefox/43.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: de,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: https://www.google.de
Cookie: NID=73=CxfcRkEuVWqfY6ZPQ_xEsHiF0nCywwmFO7O0EZbHr8OScN-
Connection: keep-alive
因此,这里只需使用“ referer”字段即可应用相同的模式匹配技术。如果用户来自Google搜索,请重定向他,否则显示真实站点。
- IP Cloaking
这是一个更高级的方法,因为它涉及跟踪已知的bot IP并基于IP隐藏它们。它的工作原理很简单:脚本会根据bot列表检查每个访问者IP(这也会减慢页面加载速度),并确定其是否为bot。
- rDNS检查
这更像是对其他隐藏方法的额外检查。“ rDNS”代表“反向DNS”,并且只是IP的主要主机名。您可能知道一个IP可以承载许多虚拟网站,但是IP始终解析为1个主机名。对于Google来说,他们不仅要检查IP,还要查看rDNS条目是否匹配。
除此之外,还有Landing Page加密,域名伪装,Cookie保护等等多种方式。大家都会隐藏自己Cloak的具体方式,因为这种秘密一旦说出,以后就很难凑效了。
几个常见的Cloaking工具
根据BlackHatWorld论坛上的推荐,我们列出了几个提及率最高的cloaking服务工具,如果大家有兴趣的话,可以直接在论坛上搜索更多详情介绍。有其他好用的,也欢迎在评论区推荐出来!
- Justcloakit
- Traffic Armor
- Cloakerly
- Noipfraud
- Leadcloak
需要注意的一点:没有任何一个cloak程序能保证100%成功率。市面上cloaking工具的选择很多,要根据自己的预算和所需的功能来挑选。
