بازگشت به وبلاگ

JA4 و TLS-فینگرپرینتینگ: چرا در سال 2026 اسکرپینگ به بازی هویت‌ها تبدیل شد، نه پروکسی

آی‌پی مقیم دیگر کم است: در سال ۲۰۲۶ بزرگترین سیستم‌های ضد ربات، ربات را بر اساس دست دادن TLS قبل از اولین بایت HTML شناسایی می‌کنند. انتقال JA3→JA4+، تله TLS پساکوانتومی، اثر انگشت‌زنی HTTP/2 را بررسی می‌کنیم — و اکنون چه چیزی واقعاً برای اسکرپینگ کار می‌کند.

📅۱۲ تیر ۱۴۰۵
JA4 و TLS-فینگرپرینتینگ: چرا در سال 2026 اسکرپینگ به بازی هویت‌ها تبدیل شد، نه پروکسی
```html

آی‌پی مقیم دیگر نجات‌دهنده نیست. در سال 2026، بزرگ‌ترین سیستم‌های ضد ربات — Cloudflare، Akamai، AWS WAF — توانستند ترافیک خودکار را قبل از آنکه سرور اولین بایت HTML را ارسال کند، شناسایی کنند. تصمیم‌گیری درباره اینکه آیا شما یک ربات هستید یا انسان، در مرحله TLS handshake بر اساس «اثر انگشت» دیجیتال مشتری شما انجام می‌شود. و اگر این اثر انگشت با فرم یک مرورگر واقعی مطابقت نداشته باشد، هیچ آی‌پی مقیم تمیز شما را نجات نخواهد داد. اسکرپینگ از «بازی پروکسی» به «بازی هویت‌ها» تبدیل شده است.

چه اتفاقی افتاد: JA4+ به استاندارد صنعتی تبدیل شد

چند سال پیش، استاندارد فینگرپرینتینگ TLS JA3 بود — هش که نسخه TLS، لیست مجموعه‌های رمزنگاری، گسترش‌ها و منحنی‌های بیضوی را از پیام ClientHello به یک رشته MD5 تبدیل می‌کرد. این روش تا Chrome 110 (ژانویه 2023) کار می‌کرد، زمانی که گوگل به طور عمدی تصادفی‌سازی ترتیب گسترش‌های TLS را به عنوان یک اقدام در برابر فینگرپرینتینگ فعال کرد. پس از آن، هش JA3 در هر اتصال حتی برای یک مرورگر واحد تغییر کرد — شناسایی مشتری بر اساس آن غیرممکن شد.

پاسخ JA4+ از FoxIO بود: قبل از هش کردن، مجموعه‌های رمزنگاری و گسترش‌ها مرتب می‌شوند، بنابراین تصادفی‌سازی Chrome دیگر اثر انگشت را مختل نمی‌کند. تا سال 2026، JA4 به استاندارد de facto تبدیل شد و به عنوان سیگنال اصلی در مدیریت ربات Cloudflare، AWS WAF، VirusTotal و Akamai عمل می‌کند. فرمت سه بخشی (a_b_c) بین نسخه‌های مرورگر پایدار است: به عنوان مثال، Chrome 120–131 t13d1516h2_8daaf6152771_02713d6af862 را ارائه می‌دهد، در حالی که Chrome 133–136 t13d1516h2_8daaf6152771_d8a2da3f94cd را ارائه می‌دهد.

مقیاس این شناسایی را نمی‌توان نادیده گرفت. Cloudflare بیش از 15 میلیون اثر انگشت JA4 منحصر به فرد را که از 500+ میلیون user-agent جمع‌آوری شده‌اند، تحلیل می‌کند و مدل ML نسل هشتم آن حدود 46 میلیون درخواست HTTP در ثانیه را پردازش می‌کند. DataDome، به گفته خود، بیش از 5 تریلیون سیگنال را در روز با تأخیر کمتر از 2 میلی‌ثانیه پردازش می‌کند و بیش از 85,000 مدل ML مشتری را نگه می‌دارد. Akamai از دقت طبقه‌بندی ربات‌ها در محدوده 92–98% به لطف تحلیل چندلایه‌ای خبر می‌دهد.

TLS پساکوانتومی: تله جدید برای اسکرپرها

تغییر اصلی سال 2026 که بسیاری از آن مطلع نیستند، انتقال مرورگرها به رمزنگاری پساکوانتومی است. و همین اکنون ابزارهای اسکرپینگ قدیمی را غیرقابل استفاده می‌کند.

تاریخچه ساده است. در آوریل 2024، Chrome 124 به طور پیش‌فرض تبادل کلید ترکیبی X25519MLKEM768 (X25519 کلاسیک به علاوه ML-KEM-768، که قبلاً Kyber بود) را فعال کرد. در نوامبر 2024، Firefox 132 پشتیبانی را اضافه کرد و در اکتبر 2025، اپل در iOS و macOS این کار را انجام داد. و در 31 ژانویه 2026 Akamai اتصالات پساکوانتومی را به پیش‌فرض برای تمام مشتریان تبدیل کرد. به گفته F5 Labs، در حال حاضر 57.4% از تمام اتصالات مرورگر دارای سهم کلید پساکوانتومی هستند؛ در میان ترافیک Chrome، 93% با PQ سازگار هستند.

مشکل برای اسکرپرها این است که سهم کلید پساکوانتومی 1088 بایت به ClientHello اضافه می‌کند — پیام از حدود ~300–500 بایت به بیش از 1400 بایت افزایش می‌یابد و اکنون در یک بسته TCP جا نمی‌شود. این به شناسایی‌کننده سه سرنخ می‌دهد:

  • سیگنال باینری. درخواستی که به عنوان Chrome 131 شناخته می‌شود، اما بدون سهم کلید پساکوانتومی — «پرچم قرمز که قبل از اولین بایت ترافیک HTTP فعال می‌شود».
  • تکه‌تکه شدن ClientHello. پیام بزرگ شده به چند بسته TCP تقسیم می‌شود و تصویر تکه‌بندی با مرورگر واقعی متفاوت است.
  • JA4 گسترش‌یافته. یک مقاله علمی (arXiv، مارس 2026) 98% دقت در تشخیص TLS کلاسیک و پساکوانتومی تنها بر اساس داده‌های handshake نشان داد.

داستان جداگانه‌ای وجود دارد — آسیب‌پذیری‌های کتابخانه uTLS که بسیاری از اسکرپرهای Go بر اساس آن ساخته شده‌اند. دو CVE (CVE-2026-26995 و CVE-2026-27017) بیش از دو سال نادیده گرفته شدند و 25–50% احتمال شناسایی در اتصال به دلیل عدم وجود گسترش padding و عدم تطابق GREASE/ECH را فراهم می‌کردند. این مشکل با به‌روزرسانی uTLS به 1.8.2+ حل می‌شود. درس: وابستگی شدید به اثر انگشت‌های قدیمی مانند HelloChrome_120 از یک ترفند مفید به یک بار اضافی در یک به‌روزرسانی مرورگر تبدیل شد.

تنها TLS نیست: HTTP/2 و شناسایی لایه‌ای

TLS handshake تنها اولین خط دفاعی است. بلافاصله بعد از آن، فینگرپرینتینگ HTTP/2 انجام می‌شود: هر مرورگر مجموعه‌ای خاص از پارامترهای SETTINGS و ترتیب خاصی از هدرهای شبه را ارسال می‌کند. برای Chrome این masp است، برای Firefox — mpas، و برای Safari — mspa. و ترتیب هدرهای شبه در curl معمولی (mpsa) با هیچ مرورگر واقعی مطابقت ندارد — به این معنی که curl به سرعت شناسایی می‌شود.

در سال 2026، شناسایی در یک زنجیره واضح ساخته شده است که سیگنال‌ها بر اساس یکدیگر بررسی می‌شوند:

  1. فینگرپرینتینگ TCP/IP — شناسایی سیستم‌عامل قبل از رمزنگاری؛
  2. TLS ClientHello (JA4) — در حین handshake؛
  3. HTTP/2 SETTINGS — اولین فریم پس از TLS؛
  4. ترتیب هدرهای HTTP در درخواست؛
  5. بررسی متقابل: تمام سیگنال‌ها باید «در یک هویت غیرمتناقض جمع شوند.

به همین دلیل است که تطابق فقط بر اساس JA3 امروز بدتر از هیچ است: سیستم «Chrome نادرست» را می‌بیند و آن را به عنوان ربات طبقه‌بندی می‌کند. همانطور که مهندسان عملی می‌گویند: تطابق TLS-fingerprint دیگر به هش استاتیک مربوط نمی‌شود، بلکه به هویت کلی مشتری در تمام لایه‌ها به طور همزمان مربوط می‌شود.

این در عمل چه معنایی دارد

نتیجه‌ای که تمام منابع معتبر سال 2026 تکرار می‌کنند: «TLS-spoof ایده‌آل بی‌ارزش می‌شود اگر درخواست‌ها ناگهان از پنج مکان مختلف در دو دقیقه بیایند». پروکسی و اثر انگشت اکنون تنها در ترکیب کار می‌کنند. بیایید بررسی کنیم که این چه تغییری ایجاد می‌کند.

1. اثر انگشت باید واقعی باشد، نه «نقاشی شده»

برای درخواست‌های HTTP بدون اجرای JavaScript، سیگنال‌های کلیدی از نظر اهمیت: JA4 صحیح، HTTP/2 SETTINGS صحیح و ترتیب هدرهای شبه، توالی صحیح هدرها و تطابق تمام لایه‌ها است. Python-native requests، curl استاندارد و Go net/http نمی‌توانند این را بازتولید کنند. ابزارهای کاری سال 2026 — curl_cffi، curl-impersonate، uTLS، tls-client، که اثر انگشت TLS را در سطح BoringSSL نگه می‌دارند. برای اتوماسیون مرورگر، قوی‌ترین راه‌حل متن‌باز — Camoufox: این ابزار اثر انگشت را در سطح C++ تغییر می‌دهد، نه از طریق اصلاحات مشهود JS. اما به CVE توجه کنید — کتابخانه‌ها باید به‌روزرسانی شوند.

2. پروکسی‌گذاری مسائلی را حل می‌کند که اثر انگشت حل نمی‌کند

حتی یک TLS-spoof بی‌نقص نیز کمک نخواهد کرد اگر آدرس IP شهرت بدی داشته باشد و ASN به عنوان مرکز داده شناخته شود. شبکه یک لایه اعتماد جداگانه است: سازگاری geolocation، شهرت ASN، سرعت و پراکندگی درخواست‌ها. در اینجا است که پروکسی‌های مقیم حل می‌شوند — ترافیک از طریق آدرس‌های واقعی ISP کاربران خانگی می‌گذرد، بنابراین از نظر سیگنال‌های شبکه شما از بازدیدکننده عادی غیرقابل تشخیص هستید. برای پلتفرم‌های بسیار تهاجمی (برنامه‌های موبایل شبکه‌های اجتماعی، بانک‌ها، ضد تقلب) پروکسی‌های موبایل حتی پایدارتر هستند: IP اپراتورهای تلفن همراه با NAT-sharing بالاترین سطح اعتماد را ارائه می‌دهد و تقریباً به صورت دسته‌ای مسدود نمی‌شوند.

3. ترکیب برنده است، نه ترفندهای جداگانه

موثرترین (و به‌طور صادقانه، گران‌ترین) رویکرد سال 2026 از چهار مؤلفه به طور همزمان تشکیل شده است: اتوماسیون واقعی مرورگر (Chromium/Firefox)، مسیریابی از طریق آدرس‌های ISP مقیم یا موبایل، پلاگین‌های stealth که تلمتری اتوماسیون را حذف می‌کنند و تصادفی‌سازی رفتار شبیه انسان. قاعده ساده است: «Handshake را تعمیر کنید، آی‌پی مقیم را حفظ کنید — و نرخ موفقیت به طور چشمگیری افزایش می‌یابد». هیچ‌یک از این عناصر به تنهایی در سال 2026 دیگر کارایی ندارد.

اگر شما فقط در حال انتخاب هستید که بر روی چه چیزی زیرساخت بسازید، بهتر است با پایه شروع کنید — درک پروتکل‌های حمل و نقل و اینکه پروکسی‌های HTTP/HTTPS چگونه با SOCKS5 برای وظایف مختلف اسکرپینگ متفاوت هستند. ما این موضوع را در یک راهنمای جداگانه بررسی کرده‌ایم: HTTP، HTTPS و SOCKS5 — کدام پروکسی را انتخاب کنیم.

نتیجه‌گیری

سال 2026 به طور قطعی دوران را بست که برای اسکرپینگ کافی بود «پروکسی‌های مقیم خریداری کنید و آی‌پی‌ها را بچرخانید». اکنون شما بر اساس شکل TLS handshake، بر اساس کلیدهای پساکوانتومی، بر اساس ترتیب هدرهای HTTP/2 شناسایی می‌شوید — و تمام این سیگنال‌ها با یکدیگر و با شبکه‌ای که از آن آمده‌اید، بررسی می‌شوند. برنده کسی است که هویت او در تمام لایه‌ها یکپارچه است: اثر انگشت قابل قبول، کتابخانه‌های به‌روز، رفتار انسانی و شبکه مقیم یا موبایل با کیفیت زیر آن. پروکسی‌ها دیگر غیرضروری نیستند — آنها به پایه‌ای تبدیل شده‌اند که همه چیز دیگر بر روی آن ساخته می‌شود.

```