JA3指纹介绍

最新推荐文章于 2023-12-20 17:31:06 发布
最新推荐文章于 2023-12-20 17:31:06 发布
阅读量1.3k 收藏 3
点赞数
文章标签: 爬虫 https 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chqi987333/article/details/133297444
版权

背景介绍

前段时间做了一个看似很简单的需求,即爬取百度搜索内容,例如通过百度搜索“JA3指纹”。在编写程序测试过程中,发现无法正常采集到搜索结果。如下代码通过python requests工具访问百度搜索请求,会被百度安全验证拦截下来。

import requests

res = requests.get("https://www.baidu.com/s?wd=ssl%E6%8C%87%E7%BA%B9", 
    headers = {
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36"
    }
)
res.encoding = "utf-8"
print(res.text)

但通过以下 curl 语句能够正常访问百度搜索结果。

curl 'https://www.baidu.com/s?wd=ssl%E6%8C%87%E7%BA%B9' \
  -H 'Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9' \
  -H 'User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36' \
  --compressed

那么在目标网站、请求头、请求参数都相同的情况下,curl 与 requests 在网络请求过程中还有什么不同呢?由此引出本文介绍的对象“JA3指纹”(也称作SSL指纹、TLS指纹)。

什么是 JA3 指纹

JA3 指纹于2017年6月首次发布在 GitHub 上,是 Salesforce 研究人员 John Althouse、Jeff Atkinson和Josh Atkins 的作品。简单来说,JA3 是一种从 SSL/TLS Client Hello 数据包中提取字段并生成指纹用以识别特定客户端的技术,它于它不会随着客户端更换 IP 或者 User-Agent 而改变。JA3 指纹从一开始就说明客户端应用程序是否存在恶意。

JA3 是怎么生成的

回顾一下 https 建立连接的过程,能更直观的感受到 JA3 指纹是在什么位置生成的。
在这里插入图片描述

JA3 在 SSL/TLS 握手期间解析客户端发送的 Client Hello 数据包,收集以下字段的十进制字节值:TLS Version、Accepted Ciphers、List of Extensions、Elliptic Curves和Elliptic Curve Formats。然后,它将这些值串联起来,使用“,”来分隔各个字段,同时使用“-”来分隔各个字段中的值。最后,计算这些字符串的md5哈希值,即得到易于使用和共享的长度为32字符的指纹。

我们可以通过浏览器请求 https://check.ja3.zone/ 来得到浏览器的 JA3 指纹,其中 hash 字段对应的值就是我们所说的 JA3 指纹,它是 fingerprint 字段的 md5 计算结果。

{
    "hash": "82f7b24ab8c716674e9e78d4b856d388",
    "fingerprint": "771,49195-49199-49196-49200-49171-49172-156-157-47-53-49192-49188-49162-165-163-161-159-107-106-105-104-57-56-55-54-49202-49198-49194-49190-49167-49157-61-49191-49187-49161-164-162-160-158-103-64-63-62-51-50-49-48-49201-49197-49193-49189-49166-49156-60-154-153-152-151-150-10-255,0-11-10-35-13-15-21,23-25-28-27-24-26-22-14-13-11-12-9-10,0-1-2",
    "ciphers": "ECDHE-ECDSA-AES128-GCM-SHA256,ECDHE-RSA-AES128-GCM-SHA256,ECDHE-ECDSA-AES256-GCM-SHA384,ECDHE-RSA-AES256-GCM-SHA384,ECDHE-RSA-AES128-SHA,ECDHE-RSA-AES256-SHA,AES128-GCM-SHA256,AES256-GCM-SHA384,AES128-SHA,AES256-SHA,ECDHE-RSA-AES256-SHA384,ECDHE-ECDSA-AES256-SHA384,ECDHE-ECDSA-AES256-SHA,UNKNOWN(00a5),DHE-DSS-AES256-GCM-SHA384,UNKNOWN(00a1),DHE-RSA-AES256-GCM-SHA384,DHE-RSA-AES256-SHA256,DHE-DSS-AES256-SHA256,UNKNOWN(0069),UNKNOWN(0068),DHE-RSA-AES256-SHA,DHE-DSS-AES256-SHA,UNKNOWN(0037),UNKNOWN(0036),UNKNOWN(c032),UNKNOWN(c02e),UNKNOWN(c02a),UNKNOWN(c026),UNKNOWN(c00f),UNKNOWN(c005),AES256-SHA256,ECDHE-RSA-AES128-SHA256,ECDHE-ECDSA-AES128-SHA256,ECDHE-ECDSA-AES128-SHA,UNKNOWN(00a4),DHE-DSS-AES128-GCM-SHA256,UNKNOWN(00a0),DHE-RSA-AES128-GCM-SHA256,DHE-RSA-AES128-SHA256,DHE-DSS-AES128-SHA256,UNKNOWN(003f),UNKNOWN(003e),DHE-RSA-AES128-SHA,DHE-DSS-AES128-SHA,UNKNOWN(0031),UNKNOWN(0030),UNKNOWN(c031),UNKNOWN(c02d),UNKNOWN(c029),UNKNOWN(c025),UNKNOWN(c00e),UNKNOWN(c004),AES128-SHA256,DHE-RSA-SEED-SHA,DHE-DSS-SEED-SHA,UNKNOWN(0098),UNKNOWN(0097),SEED-SHA,UNKNOWN(000a),TLS_EMPTY_RENEGOTIATION_INFO_SCSV",
    "curves": "0017:0019:001C:001B:0018:001A:0016:000E:000D:000B:000C:0009:000A",
    "protocol": "TLSv1.2",
    "user_agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36"
}

为了更近一步描述清楚这些数据的来源,我们将fingerprint与Client Hello数据包中的字段做了映射。
例如fingerprint内容如下:771,49195-49199-49196-49200-49171-49172-156-157-47-53-49192-49188-49162-165-163-161-159-107-106-105-104-57-56-55-54-49202-49198-49194-49190-49167-49157-61-49191-49187-49161-164-162-160-158-103-64-63-62-51-50-49-48-49201-49197-49193-49189-49166-49156-60-154-153-152-151-150-10-255,0-11-10-35-13-15-21,23-25-28-27-24-26-22-14-13-11-12-9-10,0-1-2
在这里插入图片描述
其中第三个字段来自各个扩展项的前2个字节的十进制数值。如下图所示
在这里插入图片描述

这里就能解释,为什么我用 python requests 工具访问百度搜索会被百度的安全验证拦截了,因为 requests 的 JA3 指纹在百度黑名单中。下面是我的 requests 工具的 JA3 指纹,多次请求 JA3 指纹不变。
在这里插入图片描述

JA3 误报率如何

官方解释,存在一定的误报风险,我们可以将 JA3 视为 User-Agent 字符串的 TLS 等价物。 仅仅因为一个软件或恶意软件具有特定的 JA3 指纹并不意味着它对于该软件来说总是唯一的。 其他软件可能拥有一样的 JA3指纹。 但是,没有理由不使用 JA3指纹来增强我们的分析和检测。 就像其他网络元数据一样,JA3 是用于丰富数据的额外信息。 JA3S 与 JA3 结合使用时,可以显着降低误报率。

JA3S 指纹是为 Server Hello 数据包中的以下字段收集字节的十进制值:版本、密码套件和扩展列表。 然后它将这些值按顺序连接在一起,使用“,”来分隔每个字段,使用“-”来分隔每个字段中的每个值。虽然服务器对不同客户端响应的 JA3S不同,但它对同一个客户端响应的 JA3S 总是相同的。

JA3 如何绕过

介绍几种可尝试的方案

本地代理中转请求

在本地启动代理服务器,比如 Charles,requests 发起 https 请求时配置 Charles 本地代理服务,让 Charles 来进行 TLS 握手,算是一种曲线救国的方法。

import requests

res = requests.get("https://www.baidu.com/s?wd=ssl%E6%8C%87%E7%BA%B9", 
    headers = {
        "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
        "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/106.0.0.0 Safari/537.36"
    },
    proxies = {
        "http": "http://127.0.0.1:8888",
        "https": "http://127.0.0.1:8888",
    }
)
res.encoding = "utf-8"
print(res.text)

这种方案需要找一个不会被拦截的客户端代理才可以。

更换网络客户端

比如 python requests 客户端,可以尝试使用其他客户端比如 scrapy、pycurl、aiohttp 进行网络连接,或者更换客户端的版本。

魔改客户端工具

以 python requests工具为例,requests 其实是对urllib3的一个封装,可以修改 urllib3 代码中的 TLS 握手特征,比如增加或删除部分加密套件。

// vim /Library/Frameworks/Python.framework/Versions/3.7/lib/python3.7/site-packages/urllib3/util/ssl_.py

 83 DEFAULT_CIPHERS = ":".join(
 84     [
 85         "ECDHE+AESGCM",
 86         "ECDHE+CHACHA20",
 87         "DHE+AESGCM",
 88         "DHE+CHACHA20",
 89         "ECDH+AESGCM",
 90         "DH+AESGCM",
 91         "ECDH+AES",
 92         "DH+AES",
 93         "RSA+AESGCM",
 94         "RSA+AES",
 95         "!aNULL",
 96         "!eNULL",
 97         "!MD5",
 98         "!DSS",
 99     ]
100 )

如果需要修改scrapy的JA3指纹,则可以在contextfactory.py文件中进行修改。

# vim scrapy/core/downloader/contextfactory.py
def __init__(self, method=SSL.SSLv23_METHOD, tls_verbose_logging=False, tls_ciphers=None, *args, **kwargs):
    super(ScrapyClientContextFactory, self).__init__(*args, **kwargs)
    self._ssl_method = method
    self.tls_verbose_logging = tls_verbose_logging
    if tls_ciphers:
        # 修改示例:打乱ciphers顺序,改变TLS指纹
        ciphers = AcceptableCiphers.fromOpenSSLCipherString(tls_ciphers)._ciphers
        random.shuffle(ciphers)
        self.tls_ciphers = OpenSSLAcceptableCiphers(ciphers)
    else:
        self.tls_ciphers = DEFAULT_CIPHERS
周宇啊
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
js逆向知识-Ja3指纹学习
m0_67391401的博客
03-08 1247
目录 一、ja3指纹介绍 二、ja3指纹解决方案 一、ja3指纹介绍 1、指纹:通过一些算法将一些特征加密得到的值,这些值往往能够区分你是谁。每个客户端会生成特定的ja3指纹,并不会随ip和useragent改变,通过ja3指纹可以定位识别到某个客户端(不限于浏览器、python等) 2、chrome浏览器查看ja3指纹https://ja3er.com/json,或者https://ja3er.com/ 3、python的requests包查看ja3指纹 imp
008.编译自己的指纹浏览器-随机tls指纹(ja3指纹)
最新发布
w1101662433的博客
04-29 401
可以看到加密方式在chromium中是写死的,顺序也是。我们不能随意删减加密方式,但我们给他随机打乱还是可以的。这样加密顺序就打乱了。
爬虫 - 记录 某家号文章ja3指纹验证
weixin_44144647的博客
05-04 366
某家号文章ja3
深度剖析ja3指纹及突破
app安全逆向、移动开发、tls/ja3、爬虫、反爬
03-13 1523
文章较之前有部分改动,对理解ja3来说不影响的。因为某大佬看了我的文章后说我的方法其实不是完美突破,所以完美两个字没了。可能有朋友会说"你这不是在炒冷饭吗?没意思”,不不,完全没这想法。我想的是1.为了留存备份,等我老了可以给子孙后代看,这个是我写的。2.以后大家不用再拿着那个pdf私下转发了。
【那些反爬和反反爬】JA3指纹
weixin_44624036的博客
09-15 2266
而Fiddler则更侧重于Web应用程序的调试和分析,它提供了更高级的功能,可以拦截、修改和监控特定的HTTP/HTTPS请求和响应。通过观察和分析网络流量中的TLS握手消息,可以提取并计算出相应的JA3指纹。需要注意的是,由于JA3指纹是基于客户端发送的握手消息生成的,因此可能会受到一些因素的影响,例如中间人攻击、网络代理等。总结来说,Wireshark和Fiddler是两个功能强大的网络分析工具,Wireshark适用于全面的网络协议分析,而Fiddler更适合于Web应用程序的调试和分析。
Python工程师之JA3 指纹
weixin_36723038的博客
03-31 5223
有些小伙伴在爬取网站的时候,是不是觉得爬取数据的时候,把代理加好,header设置得和网站请求一样,是不是网站就不会知道是谁爬取的呢? 其实不然,就算设置好代理IP和header一样可能会被网站检测到的,这个东西就是ja3指纹。 那什么是JA3指纹呢?A3指纹又叫做浏览器指纹,它是不会随着你更换 IP 或者 User-Agent 而改变的。而且即使你不使用模拟浏览器,你直接使用 Golang、使用 Python,它们也有自己各自的指纹,并且他们的指纹每次请求也是固定的。只要网站发现某个拥有特定指纹的客户端.
逆向之Ja3指纹学习
2301_78834737的博客
07-02 1482
声明本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!引言: 在当今互联网时代,保护通信数据的安全性变得至关重要。为了建立安全的通信连接,TLS(Transport Layer Security)协议被广泛应用于Web浏览器、移动应用和其他网络应用程序中。而与此同时,识别和分析这些TLS通信也成为网络安全研究和威胁情报分析的重要任务之一。JA3指纹作为一种独特的指纹识别技术,为我们提供了一种有
akamai TLS指纹(即JA3)
hero706309的专栏
08-16 5571
akamai1.75 TLS指纹 ja3 akamai2.0 Cloudflare 5秒盾
python解决JA3 TLS指纹反爬几种方案
qq_42519299的博客
03-23 2847
【代码】python解决JA3 TLS指纹反爬几种方案。
python爬虫 - 猿人学第十九题突破ja3指纹验证
app安全逆向、移动开发、tls/ja3、爬虫、反爬
12-12 6461
ja3指纹破解,骚操作删除原生加密算法
爬虫请求指纹检测与绕过 TLS/JA3/Http2
zhu6201976的博客
12-20 1283
爬虫请求指纹检测与绕过 TLS/JA3/Http2
CycleTLS:使用GO和Javascript欺骗TLSJA3指纹,并增加了对代理的支持
04-05
循环TLS 目前正在积极开发中 去做: 修复TS API 重做套接字请求api 错误修正(错误的https代理,不正确的JA3等) 状态检查golang 并发和速度测试 设置 npm install --dev npm run build 如果窗户 npm run build:windows 如果是Linux npm run build:linux 如果是Mac npm run build:mac: Golang示例 package main import ( "log" "github.com/Danny-Dasilva/cycletls" ) var FirefoxAuto = cycletls. Browser { JA3 : "771,4865-4867-4866-49195-49199-52393-52392-49196-4
在Go的帮助下模仿Node内的TLS / JA3指纹-Golang开发
05-26
在Go myTls的帮助下,在Node内模拟TLS / JA3指纹在Go安装的帮助下,在Node内模拟TLS / JA3指纹。$ npm install mytls用法const initMyTls = require('mytls'); // Typescript:从“ mytls”导入initMyTls; (async()=> {const myTls = await initMyTls(); const response = await myTls('https://ja3er.com/json',{body:'',标头:{'user-agent':'customheaders ',},ja3:'771,255-49195-49199-49196-49200-49171-49172-156-157-47-53,0-10-11-13,23-24,0',});})( ); // => {// =>状态
browser-fingerprint-nodejs:这是一个获取浏览器指纹的nodejs应用程序
05-01
Node.js应用程序获取浏览器指纹。 依存关系 快速,简单,极简的Web框架 该模块尝试通过检查浏览器的标头和连接信息来唯一标识浏览器。 为什么这个? 该脚本用作内部端点,可为请求该脚本的客户端提供“浏览器指纹...
JAVA_FINGERPRINT_APPLICATION.rar_fingerprint_fingerprint java_ja
09-23
指纹开发应用的源码,实现在JAVA(WEB)开发语言的应用中实现指纹注册/认证功能。
java开源包3
06-28
3. 支持缓存数据分区规则的定义 4. 使用redis作缓存时,支持list类型的高级数据结构,更适合论坛帖子列表这种类型的数据 5. 支持混合使用redis缓存和memcached缓存。可以将列表数据缓存到redis中,其他kv结构数据...
tls/ja3指纹补充说明
app安全逆向、移动开发、tls/ja3、爬虫、反爬
03-13 801
之前我查到的是已知的只能改ciphers加密套件,然后根据微信好友渔滒的发现,用pyqt可以改第三个扩展列表和第四个椭圆算法,最后一个椭圆标准还是没法改,相关链接:https://doc.qt.io/qt-5/qsslconfiguration.html目前我有空就在研究,没有结果之前,不好意思暂不便多说geekbyte。
Python requests 如何突破反爬虫指纹 JA3算法
qq_37144341的博客
09-03 4097
这是「进击的Coder」的第 466 篇技术分享 作者:kingname 来源:未闻 Code “ 阅读本文大概需要 6 分钟。 ” 在前几天的文章《为什么随机 IP、随机 UA 也逃不掉被反爬虫的命运》里面,我介绍JA3 指纹算法。这个算法可以在你改掉 IP 和 UA 的情况下依然识别到你。 今天,我们来介绍如何在 Python 里面,使用 requests 请求网站的时候,修改 JA3指纹。 requests 是基于 urllib3 实现的。要修改 JA3 相关的底...
cobaltstrike JA3指纹
09-15
C知道暂时没有查询到"CobaltStrike JA3指纹"的相关信息。Cobalt Strike是一款常用的渗透测试工具,而JA3JA3 SSL Client Fingerprint)是一种基于TLS客户端指纹的识别技术,用于识别网络流量中使用的TLS客户端。它可以通过分析客户端和服务器之间的TLS握手包来生成一个唯一的指纹。但目前我无法提供关于Cobalt Strike在网络流量中使用的JA3指纹的具体信息。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值