TLS fingerprinting

Идентификация клиента по параметрам TLS ClientHello — до того, как HTTP-запрос обработан. Каждый TLS-клиент (браузер, curl, Python requests, Go http) генерирует характерный «отпечаток», который невозможно подделать без замены TLS-стека.

Как работает

При TLS-хендшейке клиент отправляет ClientHello с набором параметров:

Версия TLS
Cipher suites (порядок и набор)
Extensions (SNI, ALPN, supported groups, signature algorithms)
Compression methods

Хеш этих параметров = fingerprint. Один и тот же браузер на разных машинах даёт одинаковый отпечаток.

JA3 vs JA4

	JA3	JA4
Формат	MD5-хеш строки параметров	Читаемая строка `t13d1516h2_...`
Устойчивость	Ломается при рандомизации порядка extensions (Chrome 110+)	Сортирует extensions — устойчив к рандомизации
Поддержка	Широкая (Cloudflare, Suricata, Zeek)	Растёт (FoxIO, fingerproxy, Auth0)

JA4 — рекомендуемый формат на 2025+.

Что можно определить

JA4 fingerprint	Клиент
Уникальный для Chrome/Edge	Chromium-based браузеры
Уникальный для Firefox	Firefox
Уникальный для Safari	Safari/WebKit
`python-requests/*`	Python requests — характерный набор cipher suites
`go-http-client/*`	Go http.Client
`node-fetch/*`	Node.js fetch/undici

Headless Chrome (Puppeteer/Playwright) имеет тот же JA4, что и обычный Chrome — эта техника не отличает headless от обычного браузера. Но отсекает все не-браузерные HTTP-клиенты.

Инструменты

fingerproxy (рекомендуемый)

Go reverse proxy (~10 MB), терминирует TLS, вычисляет JA3/JA4, добавляет заголовки, проксирует на upstream по HTTP.

Client → fingerproxy (TLS termination + JA4) → nginx (HTTP) → App

# Docker Compose
fingerproxy:
  image: ghcr.io/wi1dcard/fingerproxy:latest
  ports:
    - "443:443"
  environment:
    - UPSTREAM=nginx:80
  volumes:
    - ./certs:/certs:ro

Продакшн-ready: Subscan.io обрабатывает 40M req/day через fingerproxy.

ja4-nginx-module

Нативный nginx-модуль от FoxIO. Требует пересборку nginx с модулем. Производительнее fingerproxy (нет дополнительного hop), но сложнее в деплое.

Cloudflare

Предоставляет JA3/JA4 из коробки в cf-ja3-fingerprint заголовке. Не актуально для РФ (см. Защита API от скрейпинга).

Фазы внедрения

Логирование (2 недели) — только записывать JA4 в access log, собирать fingerprints реальных пользователей
Allowlist — сформировать список браузерных fingerprints
Мягкая блокировка — неизвестные fingerprints → повышенный suspicion score или tarpit
Жёсткая блокировка — blocklist известных scraping-библиотек

Ограничения

Не отличает headless Chrome от обычного Chrome
При обновлении браузера fingerprint может измениться — allowlist нужно обновлять
Дополнительный hop (fingerproxy) добавляет ~1ms латентности
Не работает для HTTP (без TLS) — только HTTPS

Стойкость

Высокая — подменить JA4 невозможно без:

Замены TLS-библиотеки клиента (например, использовать curl-impersonate вместо curl)
Использования headless Chrome (дорого по ресурсам)
Проксирования через реальный браузер

Это одна из самых надёжных техник идентификации на 2025-2026.

Связанные заметки

Защита API от скрейпинга — общая стратегия
Поведенческий анализ трафика — L7-сигналы (JA4 работает на L4/L5)
HMAC-подпись API запросов — L7-подпись запросов

Struchkov's Garden 🪴

Недавние заметки