Как антифрод-системы вычисляют прокси по TCP fingerprint и как это обойти

Как антифрод вычисляет прокси по TCP fingerprint

Ты сидишь за прокси. Всё чисто. IP не в базах. Антифрод всё равно тебя палит. Как? TCP fingerprint. Железобетонный метод, который не спрятать за сменой IP.

Дело в том, что TCP/IP стек — не просто протокол. Это отпечаток твоей операционной системы. Каждая ОС отправляет пакеты по-своему. Размер окна, TTL, опции, последовательность флагов — мелочи, которые складываются в уникальный паспорт.

Антифрод-системы вроде ThreatMetrix, MaxMind или самописных решений собирают эти данные. Сравнивают с эталонами. И если твой пакет пахнет VPS на Linux, а ты утверждаешь, что сидишь с Windows 11 — привет, блокировка.

Как формируется TCP fingerprint

Трёхстороннее рукопожатие — SYN, SYN-ACK, ACK. В каждом пакете — десятки параметров. Главные:

- **Window Size (WScale)** — размер окна приёма. У Linux 29200, у Windows 65535, у macOS 65535 с другим множителем.

- **TTL** — время жизни пакета. Linux стартует с 64, Windows с 128, Cisco с 255.

- **MSS** — максимальный размер сегмента. Зависит от MTU.

- **TCP Options** — порядок и наличие опций: SACK, Timestamp, NOP, WScale. Linux любит порядок: MSS, SACK, Timestamp, NOP, WScale. Windows — иначе.

- **DF flag** — запрет фрагментации. Почти все современные ОС ставят 1, но старые — 0.

Возьми pcap-лог с любого сервера. Пропусти через утилиту типа p0f. Увидишь: пакеты от одного и того же прокси дают одинаковый fingerprint. Как паспорт с фотографией.

Почему прокси не маскируют fingerprint

Большинство прокси-сервисов — дешёвые VPS. На них крутится стандартный Linux. Никто не заморачивается настройкой сетевого стека. Пользователь думает: «IP сменил — я невидимка». Антифрод видит: «IP из Германии, а fingerprint — DigitalOcean в Нью-Йорке». Бинго.

Даже дорогие резидентские прокси часто грешат. Они используют софт типа 3proxy или Squid. Эти программы не меняют fingerprint. Они просто проксируют трафик. Отпечаток остаётся от сервера, где крутится прокси.

Бывает хуже: fingerprint одного прокси совпадает с fingerprint другого. Антифрод строит кластеры. Находит сотни IP с одинаковым отпечатком. Помечает всю сеть как прокси. Ты меняешь IP — а блокировка уже висит на всей подсети.

Как антифрод собирает fingerprint

Способы пассивные и активные.

**Пассивный:** сервер просто анализирует входящие SYN-пакеты. Никаких дополнительных запросов. Клиент даже не знает, что его сканируют. Работает на уровне ядра. nginx или haproxy могут логировать эти данные.

**Активный:** после установки соединения сервер отправляет специальные пакеты (например, с нестандартными опциями). Смотрит, как клиент реагирует. Некоторые антифроды используют JavaScript на странице, чтобы через WebRTC вытащить fingerprint браузера. Но это уже не TCP, а прикладной уровень.

Есть базы данных TCP fingerprints. p0f, Nmap, SinFP3. Они содержат тысячи отпечатков. Антифрод сравнивает твой пакет с базой. Если совпадение — знает твою ОС и даже версию ядра.

Реальный кейс: как fingerprint сдал прокси

История из практики. Клиент использует прокси для парсинга. IP меняет каждые 10 минут. Антифрод всё равно блокирует. Проверяем fingerprint: все IP дают одинаковый отпечаток. Linux 4.15 с ядром от DigitalOcean. Сервер антифрода видит: 100 разных IP, но один fingerprint. Решение — прокси с разных хостингов и разными версиями ядра. Fingerprint стал разным. Блокировки прекратились.

Другой случай: пользователь купил дорогой резидентский прокси. Думал, что неуязвим. Антифрод увидел fingerprint Windows 10, хотя прокси крутился на Linux. Оказалось, что провайдер использовал костыль — эмуляцию TCP стека Windows. Но эмуляция была кривая: TTL не совпадал. Fingerprint стал гибридом — ни рыба ни мясо. Антифрод это заметил и заблокировал.

Как обойти TCP fingerprint

Три пути. Ни один не даёт 100% гарантии. Но комбинация работает.

**Путь 1: Изменение сетевого стека на сервере.**

На Linux можно менять параметры через sysctl. Пример для эмуляции Windows:

```

sysctl -w net.ipv4.tcp_window_scaling=1

sysctl -w net.ipv4.tcp_sack=1

sysctl -w net.ipv4.tcp_timestamps=1

```

Но это поверхностно. Глубокие параметры (порядок опций, MSS по умолчанию) меняются через iptables или nftables с модулем `tcp option set`. Скрипт на Python с использованием `scapy` может подменять пакеты на лету.

```python

from scapy.all import *

import sys

def modify_tcp(pkt):

if pkt.haslayer(TCP) and pkt[TCP].flags == 'S':

Меняем window size на Windows-подобный

pkt[TCP].window = 65535

Удаляем старые опции и добавляем новые

del pkt[TCP].options

pkt[TCP].options = [('MSS', 1460), ('NOP', None), ('NOP', None), ('SACKOK', None), ('WScale', 8)]

Меняем TTL

pkt[IP].ttl = 128

return pkt

Перехват и модификация пакетов

Требует raw socket и прав root

```

Это работает, но нагружает процессор. Для продакшена лучше использовать готовые решения вроде `tc` с `netem` или `bpfilter`.

**Путь 2: Использование прокси, которые эмулируют fingerprint браузера.**

Некоторые сервисы (например, **lexic.ml** — IPv6 прокси с 2015 года) предлагают настройку TCP стека под конкретную ОС. Они не просто меняют IP, а подгоняют fingerprint под целевой профиль. Полезно, если антифрод смотрит не только на IP, но и на отпечаток.

**Путь 3: Туннелирование через WireGuard с кастомными параметрами.**

WireGuard сам по себе не меняет fingerprint. Но если на клиенте настроить сетевой стек под Windows, а туннель гнать через Linux-сервер с изменённым fingerprint — получается двухуровневая защита. Антифрод видит fingerprint от клиента, а не от сервера.

Таблица сравнения методов обхода

| Метод | Сложность | Надёжность | Скорость | Стоимость |

|-------|-----------|------------|----------|-----------|

| Изменение sysctl | Низкая | Низкая | Высокая | Бесплатно |

| Scapy-модификация | Высокая | Средняя | Низкая | Бесплатно |

| Готовые прокси с эмуляцией | Низкая | Высокая | Средняя | Платная |

| WireGuard + настройка | Средняя | Высокая | Высокая | Бесплатно/дешёво |

Как проверить свой fingerprint

Установи p0f на сервер:

```bash

apt install p0f

p0f -i eth0

```

Запусти. Подключись через прокси. p0f покажет fingerprint. Сравни с эталоном для своей ОС. Если не совпадает — антифрод тоже заметит.

Можно использовать онлайн-сервисы. Например, `tcpip.xyz` или `fingerprintjs.net`. Они показывают, как тебя видит сервер.

Что делать, если fingerprint уже скомпрометирован

Первый шаг — сменить не только IP, но и сервер. Если fingerprint привязан к хостингу — переезжай на другой. Желательно с другой архитектурой (AMD вместо Intel, другая версия ядра).

Второй шаг — рандомизация. Не используй один fingerprint для всех сессий. Меняй параметры каждые N запросов. Антифрод увидит разные отпечатки и не сможет кластеризовать.

Третий шаг — снижение частоты запросов. Fingerprint — лишь один из факторов. Если ты долбишь сервер 1000 запросов в секунду, никакой fingerprint не спасёт. Антифрод тебя вычислит по поведению.

Грабли, на которые наступают

Не думай, что смена MAC-адреса или User-Agent решит проблему. TCP fingerprint работает на уровне ядра. Браузерные настройки не влияют.

Не верь прокси-сервисам, которые обещают «стелс-режим» без технических деталей. Часто это маркетинговая уловка. Проверяй сам через p0f.

Не используй один fingerprint для всех задач. Если ты парсишь Amazon и Facebook с одного отпечатка — антифрод свяжет эти аккаунты. Разные профили — разные fingerprint.

Не забывай про IPv6. Многие прокси (включая lexic.ml) дают IPv6 адреса. Антифроды хуже анализируют IPv6 трафик. Но fingerprint для IPv6 работает так же. Настраивай и его.

Вывод

TCP fingerprint — не магия. Это набор параметров, которые можно контролировать. Но контроль требует технической подготовки. Не ленись проверять свой отпечаток. Не доверяй прокси без теста. И помни: антифрод эволюционирует быстрее, чем методы обхода.