<b>Антифрод в клоакинге ломают не боты, а слишком уверенная логика отбора</b>
Что бросилось в глаза за неделю: большинство провалов начинается не с «плохого трафика», а с простых дыр в маршруте. Если фильтр смотрит только на IP или только на User-Agent, его обходят за пару запросов. Если редиректная цепочка одинаковая для всех, антифрод быстро находит паттерн.
Рабочая схема обычно держится на связке из нескольких сигналов:
— сетевой слой: ASN, прокси, датацентры, частота запросов;
— поведенческий слой: время на странице, скролл, движение мыши, порядок переходов;
— технический слой: cookies, fingerprint, совпадение языка, часового пояса и referer.
Один сигнал редко решает задачу. Нужна комбинация, где каждый следующий шаг подтверждает предыдущий.
Отдельно смотрите на «чистые» ошибки:
— слишком ранний редирект;
— одинаковые ответы для бота и модерации;
— отсутствие тихих состояний, когда система не уверена;
— логирование без связки с источником и цепочкой событий.
Именно такие вещи дают ложные срабатывания и потом мешают понять, где реальный фрод, а где нормальный пользователь.
Есть наблюдение которое стоит проверить: антифрод работает лучше, когда он не пытается мгновенно отсеять всех подозрительных, а сначала отправляет их в промежуточный сценарий. Там можно собрать дополнительные сигналы и уже потом решать — пускать, замедлять или резать доступ. Такой подход обычно дает меньше потерь на белом трафике.
Вывод простой: не стройте защиту вокруг одного «умного» фильтра. Соберите несколько слабых проверок в одну цепочку, а потом регулярно тестируйте ее на ручных заходах, прокси и мобильных сетях.
Cloaking Stack — Keitaro, Adspect, Imklo
@cloaking_stack
<b>Антифрод в клоакинге ломают не боты, а слишком уверенная логика отбора</b>
Этот пост опубликован в Telegram-канале Cloaking Stack — Keitaro, Adspect, Imklo. Подписаться можно по ссылке: @cloaking_stack.