1. Що таке TLS-фінгерпринтинг
Коли браузер ініціює HTTPS-з’єднання, він надсилає повідомлення ClientHello під час TLS-рукостискання. Це повідомлення розкриває:
- Набори шифрів (наприклад, TLS_AES_128_GCM, TLS_ECDHE_RSA)
- TLS-розширення (наприклад, SNI, ALPN, Підтримувані групи, Алгоритми підпису)
- Підтримувані версії протоколу (TLS 1.0 до TLS 1.3)
- Узгодження протоколу прикладного рівня (ALPN) (наприклад,
h2,http/1.1) - Переваги еліптичних кривих (ECDH Preferences)
- Список алгоритмів підпису
Такі інструменти, як API TLS-фінгерпринтингу та мережеві стеки, можуть використовувати комбінацію цих значень для унікального фінгерпринтингу клієнтського браузера.
Ці відбитки значною мірою виходять за межі JavaScript і генеруються на рівні мережевого стека, що робить виявлення стійким до традиційних бібліотек імітації браузера.
2. Як платформи використовують TLS-відбитки для відстеження
TLS-фінгерпринтинг широко використовується передовими платформами фінгерпринтингу, SaaS-системами та adtech-компаніями для виявлення:
- Клієнти, які не є браузерами: Інструменти, що імітують браузери (наприклад, Puppeteer, Playwright, Selenium), часто мають TLS-шаблон, який відхиляється від стандартних відбитків браузера.
- Бот-мережі та проксі-інструменти: Автоматизовані системи, як правило, використовують уніфіковані TLS-послідовності, тоді як звичайні установки браузерів демонструють органічні варіації.
- Перевірки узгодженості сесій: Системи можуть реєструвати та порівнювати TLS-відбитки під час спроб входу для виявлення повторного використання облікового запису або спроб захоплення.
- Зіставлення User-Agent та TLS: Платформи перевіряють, чи відповідає поведінка TLS-рукостискання
User-Agentбраузера, що викликає підозру при невідповідностях. - Перевірка кореляції Geo-TLS: Інструменти виявлення поєднують аналіз TLS-профілю з IP-геолокацією для ідентифікації клієнтів, що підміняють місцезнаходження, не реалістично імітуючи поведінку браузера цього регіону.
TLS-відбитки не можуть бути безпосередньо маніпульовані через скрипти браузера, що вимагає глибоко керованих мережевих стеків або користувацьких емуляторів TLS-клієнтів для надійного спуфінгу.
3. Як FlashID перевизначає TLS-відбитки
Більшість традиційних інструментів автоматизації браузерів не можуть підмінити дані TLS на мережевому рівні — але FlashID використовує архітектуру мережевого проксі, яка імітує нові стеки TLS-комунікації для симуляції реальних та змінних TLS-профілів браузера.
Функції, які FlashID пропонує для захисту від TLS-фінгерпринтингу, включають:
- Перемикання TLS-профілю за екземпляром: Кожен профіль браузера FlashID може застосовувати певний TLS-відбиток, що відповідає його регіону та ідентичності браузера.
- Емульовані шаблони ClientHello: Ви можете використовувати FlashID для генерації нової послідовності
ClientHello, що відповідає реальним браузерам, таким як Chrome 120, Firefox 124 або Safari 17. - Контроль наборів шифрів: Тонко налаштовуйте, які набори шифрів використовує ваш браузер для кожного TLS-контексту, щоб імітувати iOS, Android, macOS, Windows або ботів з корпоративних середовищ.
- Налаштування версії протоколу: Профілі FlashID можуть перемикати підтримку TLS 1.0 до TLS 1.3 на основі очікуваної ідентичності браузера.
- Високоточний спуфінг SNI та ALPN: FlashID імітує коректний заголовок хоста та поведінку узгодження прикладного протоколу, щоб влитися в реальний трафік пристроїв.
- Прогнозування та ротація TLS-рандомізації: FlashID інтелектуально ротує або підтримує TLS-відбитки для довгострокової узгодженості сесій, де це необхідно.
- Інтегрований спуф-підпис: Завдяки конфігурованим алгоритмам підпису та еліптичним кривим, FlashID зменшує ентропію сесії та блокує зв’язуваність сесії через невідповідності поведінки TLS.
Дизайн мережевої ізоляції та проксі-фінгерпринтинг FlashID гарантують, що маніпуляції TLS-рівня є невідстежуваними, роблячи ваші профілі невідмінними від органічних та нативно встановлених браузерів.
Вам також може сподобатися
