关于TLS握手指纹 JA3的一些发现

最新推荐文章于 2024-08-23 09:29:00 发布
最新推荐文章于 2024-08-23 09:29:00 发布
阅读量2.3k 收藏 2
点赞数
文章标签: php ssl https
原文链接:https://bjun.tech/blog/xphp/140
版权

目录

前文

前几天第一次接触到ja3,十分的好奇。经过今天几天的研究和学习,发现了点东西,记录下。另外下篇会分享自己用php撸的ja3获取工具。

另外本文将https://ja3er.com/form简称为ja3er。

ja3_Hash获取规则

  • 场景
    tls clint hello,准确的说是:
    • 字节 0:值 22,表示根据 TLS 规范的“握手”。
    • 字节 5:根据 TLS 规范,值 1,在握手包内指示客户端问候。
    • 字节 9:值 3,两个字节中的第一个字节,与任何版本的 TLS 对齐的 TLS 版本。如果匹配 SSL,该值也可能为 0。
    • 字节 1:与字节 9 相同,但与记录 TLS 版本有关”
  • 字段顺序
    TLSVersion,Ciphers,Extensions,EllipticCurves,EllipticCurvePointFormats
  • 拼接规则
    按顺序连接在一起,使用“,”分隔每个字段,使用“-”分隔每个字段中的每个值。
  • MD5 哈希处理
    拼接后的ja3_str经过MD5处理得到ja3_hash
  • 忽略的值,该值在Ciphers,Extensions,EllipticCurves会出现

GREASE

具体为:

 $GREASE_TABELE = [
        2570,//(0x0A0A)
        6682,//(0x1A1A)
        10794,//(0x2A2A)
        14906,//(0x3A3A)
        19018,//(0x4A4A)
        23130,//(0x5A5A)
        27242,//(0x6A6A)
        31354,//(0x7A7A)
        35466,//(0x8A8A)
        39578,//(0x9A9A)
        43690,//(0xAAAA)
        47802,//(0xBABA)
        51914,//(0xCACA)
        56026,//(0xDADA)
        60138,//(0xEAEA)
        64250,//(0xFAFA)
    ];

发现

忽略的扩展

ja3er 中的ja3_str会把类型值为17513的扩展忽略掉

Type: application_settings (17513)
例子:

// from ja3er 
……27-21,29-23-24,0
// from mycode
……27-17513,29-23-24,0

变化的ja3

与curl 不同,ja3_str 在chrome中是2个值

//第一次访问时是一个值
……27-17513-21,29-23-24,0
// 之后的访问是另外一个值
……27-17513,29-23-24,0

主要是取决于场景,在chrome中

  1. 首次访问session_ticket为空
    此时会增加一个拓展,名为padding,类型值为21

    Type: padding (21)

  2. 之后访问session_ticket有值
    此时没有padding扩展

这个情况在ja3er和我的代码中都会出现,应该是tls session 机制导致。ja3er中比较难复现,可以尝试用无痕。

关于Wireshark的JA3

示例数据:

[JA3 Fullstring: 771,10794-4865-4866-4867-49195-49199-49196-49200-52393-52392-49171-49172-156-157-47-53,60138-0-23-65281-10-11-35-16-5-13-18-51-45-43-27-17513-31354,23130-29-23-24,0]
[JA3: 432d80490caf1b032a7e091754f2f597]

如果你也有测试,你会发现在Wireshark中,JA3不是固定的。原因很简单,它并没有忽略GREASE。如实例中,771,10794-4865 中的 10794,正是10794,//(0x2A2A)

nginx几个与ja3相关的变量

只测试了本地和我的服务器,仅供参考

nginx 配置
   location ~ \.php(.*)$ {
        fastcgi_param  ssl_protocol $ssl_protocol;
        fastcgi_param  ssl_curves $ssl_curves;
        fastcgi_param  ssl_cipher $ssl_cipher;
        fastcgi_param  ssl_ciphers $ssl_ciphers;
        fastcgi_param  ssl_server_name $ssl_server_name;
        fastcgi_param  ssl_client_fingerprint $ssl_client_fingerprint;
        fastcgi_param   ssl_session_id $ssl_session_id;
        
        fastcgi_pass 127.0.0.1:9000;
        fastcgi_index index.php;
        fastcgi_split_path_info ^((?U).+\.php)(/?.+)$;
        fastcgi_param SCRIPT_FILENAME  $document_root$fastcgi_script_name;
        fastcgi_param PATH_INFO  $fastcgi_path_info;
        fastcgi_param PATH_TRANSLATED  $document_root$fastcgi_path_info;
        include fastcgi_params;
    }
php代码
var_dump(__FILE__.' line:'.__LINE__,$_SERVER);exit;
结果
  • 数据示例
  ["ssl_session_id"]=>
  string(64) "8ba7742fd5a32ddb4c842aa34ce97325cd19015720389ff8c04650e049be4b75"
  ["ssl_client_fingerprint"]=>
  string(0) ""
  ["ssl_server_name"]=>
  string(5) "xxx.com"
  ["ssl_ciphers"]=>
  string(355) "0xcaca:TLS_AES_128_GCM_SHA256:TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA"
  ["ssl_cipher"]=>
  string(27) "ECDHE-RSA-AES256-GCM-SHA384"
  ["ssl_curves"]=>
  string(0) "0x1a1a:X25519:prime256v1:secp384r1"
  ["ssl_protocol"]=>
  string(7) "TLSv1.2"
  • 对比
变量ssl_protocolssl_curvesssl_cipherssl_server_namessl_client_fingerprintssl_session_id
首次访问YYYYemptyempty
后续访问YemptyYYemptyY
  • 发现
  1. ssl_session_id 并不是固定值,每次请求都会变化。
  2. ssl_session_id存在时会与Wireshark抓到的一致,也就是时传递过来的,不太懂为啥第一次就没有。

Session ID: 8ba7742fd5a32ddb4c842aa34ce97325cd19015720389ff8c04650e049be4b75

  1. 首次访问时,与jas_str字段差距只是缺少Extensions。或许可以作为一个简化版的ja3。

TLSVersion,Ciphers,Extensions,EllipticCurves,EllipticCurvePointFormats

SNI 真的很好取

备案检测是怎么做到的?,另外了解到,ie部分版本是不支持SNI,也就是你可以用它上未备案的网站,然而这没卵用。具体支持情况:
SNI支持情况

参考

tls-fingerprinting

原文链接

关于TLS握手指纹 JA3的一些发现

Xxx-Bin
关注
逆向之Ja3指纹学习
2301_78834737的博客
07-02 1556
声明本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!引言: 在当今互联网时代,保护通信数据的安全性变得至关重要。为了建立安全的通信连接,TLS(Transport Layer Security)协议被广泛应用于Web浏览器、移动应用和其他网络应用程序中。而与此同时,识别和分析这些TLS通信也成为网络安全研究和威胁情报分析的重要任务之一。JA3指纹作为一种独特的指纹识别技术,为我们提供了一种有
JA3指纹介绍
chqi987333的博客
09-26 1810
JA3指纹介绍
fingerprint:一个简单的指纹 API,用于捕获数据,将数据保存为文件或数据库,并使用 Nitgen 生物识别服务提供商 SDK 进行验证
05-31
指纹 一个简单的指纹 API,用于捕获数据,将数据保存为文件或数据库,并使用 Nitgen 生物识别服务提供商 SDK 进行验证。 指纹安全
TLS指纹识别工具实战指南
gitblog_00215的博客
08-23 336
TLS指纹识别工具实战指南 tls-fingerprintingTLS Fingerprinting项目地址:https://gitcode.com/gh_mirrors/tl/tls-fingerprinting 项目介绍 TLS指纹识别(GitHub**)**是由Lee Brotherston开发的一个开源项目,旨在帮助网络安全研究人员和系统管理员通过分析TLS/SSL握手过程中的特征来识...
akamai TLS指纹(即JA3)
hero706309的专栏
08-16 5835
akamai1.75 TLS指纹 ja3 akamai2.0 Cloudflare 5秒盾
深度剖析ja3指纹及突破
热门推荐
静觅
03-07 1万+
这是「进击的Coder」的第 582篇技术分享作者:编角料来源:编角料“ 阅读本文大概需要 18 分钟。 ”前言是的,我重新发了,没想到一不小心就过了这么久了,发现这期间有天赋的大佬们现...
在Go的帮助下模仿Node内的TLS / JA3指纹-Golang开发
05-26
在Go myTls的帮助下,在Node内模拟TLS / JA3指纹在Go安装的帮助下,在Node内模拟TLS / JA3指纹。$ npm install mytls用法const initMyTls = require('mytls'); // Typescript:从“ mytls”导入initMyTls; (async()=> {const myTls = await initMyTls(); const response = await myTls('https://ja3er.com/json',{body:'',标头:{'user-agent':'customheaders ',},ja3:'771,255-49195-49199-49196-49200-49171-49172-156-157-47-53,0-10-11-13,23-24,0',});})( ); // => {// =>状态
深入解析HTTPS协议中的TLS指纹检测与绕过方法
weixin_65409651的博客
07-31 819
HTTPS(Hypertext Transfer Protocol Secure)是一种安全的通信协议,用于在计算机网络中进行安全的数据传输。HTTPS在HTTP协议的基础上加入了SSL/TLS协议,通过加密和验证来保护数据的传输。它广泛应用于各种需要数据保密性的场景,如在线支付、电子邮件、社交网络等。TLS(Transport Layer Security)和SSL(Secure Sockets Layer)是两种用于在网络上提供安全通信的协议。
HTTPS协议中的TLS指纹检测与绕过方法详解
weixin_65409651的博客
07-30 473
TLSJA3指纹检测是识别非正常用户的有效手段,但我们可以通过修改ClientHello握手包内容来绕过这些检测。不同服务端的检测强度不同,找到一个有效的解决方案可能需要不断尝试和测试。
Scrapy随机JA3指纹代码示例,用于Scrapy采集过程中生成随机的JA3指纹
08-13
在Scrapy中生成随机的JA3指纹(一种用于标识TLS客户端配置的技术)通常不是Scrapy框架直接支持的功能,因为Scrapy主要关注于网页内容的抓取,而不直接处理底层的TLS握手过程。然而,你可以通过一些方法间接实现这一...
python爬虫 - js逆向之猿人学第十九题突破ja3指纹验证
segegefe的博客
02-28 578
前言 (来csdn做备份,某客园的审核机制太蛋疼…) 废话不多说,直接干,再来猿人学19题 分析 看了下,没有加密参数: 然后拿着接口直接请求: 有结果的,不会吧,这么简单?没有加密参数?这次这么草率? 用代码访问,唉,卧槽,就是他妈的不行,果然有猫腻 换requests: 确实不行, 用postman看看,可以的 这他妈就很秀啊,上一次这种感觉还是http2.0的时候,但是上面我已经用了httpx了啊,也不行,说明就不是http2.0了。 这种无力感,接着又想到上次验证请求头,把请求头写死看看
python爬虫 - 猿人学第十九题突破ja3指纹验证
app安全逆向、移动开发、tls/ja3、爬虫、反爬
12-12 6843
ja3指纹破解,骚操作删除原生加密算法
TSL指纹
china-mogul
11-16 1947
请求遇到403,查看了一些主流网站的博文,发现都是讲解ua的问题,但是很少说到TSL指纹也会导致请求遇到403。 如何解决这个问题呢 ? 首先我们需要知道TSL指纹是什么东西: 正常的应用会通过TLS/SSL对通信流量进行加密,以确保数据安全传输; 恶意软件也会对其通信流量进行TLS/SSL加密,以此来躲避检测。 为了建立TLS/SSL连接,客户端与服务端之间会先完成TCP三次握手,建立可靠的通信; 然后进入TLS/SSL握手阶段,客户端会发送Client Hello请求数据包,如果服务端同...
爬虫请求指纹检测与绕过 TLS/JA3/Http2
zhu6201976的博客
12-20 1750
爬虫请求指纹检测与绕过 TLS/JA3/Http2
JA3:强大的TLS客户端和服务器指纹识别工具
gitblog_00053的博客
06-16 567
JA3:强大的TLS客户端和服务器指纹识别工具 ja3Go package for Ja3 TLS client and server hello fingerprints项目地址:https://gitcode.com/gh_mirrors/ja3/ja3 在网络安全领域,快速准确地识别加密通信中的潜在威胁至关重要。这就是ja3开源项目的作用所在。基于Salesforce的创新技术,它提供了一...
发现TLS指纹的隐形斗篷 —— TLS-Fingerprint-API 探秘
gitblog_00089的博客
05-30 759
发现TLS指纹的隐形斗篷 —— TLS-Fingerprint-API 探秘 项目地址:https://gitcode.com/Carcraftz/TLS-Fingerprint-API 在数字时代的大潮中,隐私保护成为了我们不可忽视的重要议题。今天,我们将目光聚焦于一个名为TLS-Fingerprint-API的开源项目,这是一个旨在帮助用户绕过网络追踪,捍卫个人隐私的技术利器。通过深入浅出地解...
TLS指纹识别工具使用指南
最新发布
gitblog_00044的博客
08-23 247
TLS指纹识别工具使用指南 tls-fingerprintingTLS Fingerprinting项目地址:https://gitcode.com/gh_mirrors/tl/tls-fingerprinting 本指南旨在详细介绍GitHub上的开源项目TLS指纹识别,帮助您快速了解项目结构、启动文件以及配置文件的相关知识。 1. 项目目录结构及介绍 项目的主要目录结构如下: tls-fin...
python完美突破tls/ja3(大树乘凉版)
weixin_44862184的博客
07-10 3276
python完美突破tls/ja3(大树乘凉版),直接使用大佬编译好的pycurl库来突破 tlsja3指纹的检测(真·有手就行系列)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值