<b>Как вычислить click farm по IP-диапазону, TTL и повторяемым сетевым следам</b>
Давайте поднимем логи и посмотрим правде в глаза: click farm почти всегда шумит одинаково. У него не «пользователи», а пачка устройств, которые ходят через одни и те же ASN, подсети /24 и прокси-выходы. Ищите не креативы, а сетевую геометрию: плотность кликов из одного диапазона, низкую энтропию User-Agent, одинаковый RTT и подозрительно стабильный TTL на разных сессиях.
Полезные маркеры:
— всплеск кликов из одного /24 при нулевой или слабой географии;
— повторяющиеся reverse DNS-шаблоны вида host-.provider.tld;
— одинаковый набор заголовков: Accept-Language, Accept-Encoding, Sec-CH-UA;
— короткие цепочки redirect, где время между hop’ами почти не гуляет;
— IP меняется, а отпечаток TCP/IP остается тем же: MSS, window size, порядок опций.
Дальше — корреляция по окнам времени. Ферма редко ведет себя как нормальная аудитория: клики идут пакетами, с одинаковой паузой между запросами, без естественного разброса в течение суток. Если у вас есть server logs, сравнивайте не только IP, но и sequence of events: first hit, landing, postback, повторный заход. Ботнеты эволюционируют, но паттерны их поведения остаются прежними.
Фильтр строится на весах: IP reputation + ASN clustering + header entropy + timing variance. Если три из четырех признаков бьют в красную зону, бюджет уже течет в трубу. Вот технический разбор того, как именно уплывает ваш рекламный бюджет: не через один «плохой IP», а через целую сетку с одинаковым сетевым почерком.
Защита от фрода в рекламе
@ad_fraud_shield_arb
<b>Как вычислить click farm по IP-диапазону, TTL и повторяемым сетевым следам</b>
Этот пост опубликован в Telegram-канале Защита от фрода в рекламе. Подписаться можно по ссылке: @ad_fraud_shield_arb.