<b>TCP/IP fingerprinting: как ОС выдает себя на уровне SYN, MSS и TTL</b>
Пассивное снятие отпечатков не требует JS и не зависит от Canvas. Детект строится на том, как стек ОС формирует TCP SYN: порядок опций, размер окна, MSS, SACK, timestamps, наличие NOP-выравнивания. В сумме это дает устойчивый профиль, который часто переживает смену браузера и прокси.
Разберем энтропию данного параметра:
— TTL и initial window size;
— набор и порядок TCP options;
— поведение при retransmission и ACK pacing;
— нюансы фрагментации и DF-bit.
У разных семейств ОС различается не один маркер, а связка маркеров. Поэтому одиночный подмененный TTL мало что меняет, если остальная структура пакета остается родной.
<b>Анализ структуры TLS Client Hello</b> здесь тоже важен: сервер часто коррелирует сетевой отпечаток с TLS-отпечатком и делает вывод не по одному слою, а по всему пути до приложения. Именно поэтому «чистый» браузер на «чужой» машине и инъекция JS-кода решают только часть задачи — сетевой стек продолжает говорить на своем нативном языке.
Практика одна: проверять профиль не по одному тесту, а по нескольким уровням — pcap, TCP option layout, TLS fingerprint, поведение при повторной установке соединения. Если вы видите расхождение между заявленной ОС и тем, что уходит в SYN, антифрод увидит это раньше.
Вывод простой: под капотом Chromium API браузер можно подправить, но TCP/IP fingerprints живут ниже, на уровне ядра и сетевого драйвера; если этот слой не согласован с остальными, отпечаток разваливается.
Антидетект: эксперт
@antidetect_expert_arb
<b>TCP/IP fingerprinting: как ОС выдает себя на уровне SYN, MSS и TTL</b>
Этот пост опубликован в Telegram-канале Антидетект: эксперт. Подписаться можно по ссылке: @antidetect_expert_arb.