<b>Антибот работает не по «магии», а по трём слоям: сигнал, контекст, поведение</b>

<b>Антибот работает не по «магии», а по трём слоям: сигнал, контекст, поведение</b>

Если упростить, защиту почти всегда строят вокруг одного из трёх вопросов: кто зашёл, откуда он пришёл и как он ведёт себя после входа. Ошибка многих команд — проверять только один слой и ждать, что этого хватит.

— Сигнал: IP, ASN, прокси-след, заголовки, TLS/JA3-паттерны, cookies, WebGL, canvas, fonts. Один слабый сигнал редко решает, но набор слабых сигналов уже даёт профиль.
— Контекст: реферер, гео, язык браузера, тайминг клика, цепочка редиректов, совпадение устройства и сессии. Здесь ловят не «бота вообще», а несостыковки.
— Поведение: скорость заполнения форм, микродвижения мыши, порядок действий, паузы, повторяемость сценариев. Именно тут ломаются слишком «ровные» сессии.

Для арбитража важна обратная сторона: чем больше у вас однотипных входов, тем легче вас кластеризовать. Одинаковые девайсы, шаблонные преленды, одинаковый путь до формы — это не трафик, а удобная метка для фильтра.

Если вы защищаете продукт, не пытайтесь построить один «идеальный» барьер. Лучше собрать несколько дешёвых проверок, которые в сумме повышают цену атаки. Если вы льёте трафик, думайте не только о прохождении CAPTCHA, а о непрерывности профиля от первого клика до целевого действия.

Самая рабочая привычка здесь простая: проверяйте не отдельный параметр, а согласованность всей сессии.