Цифрові відбитки проксі: Як Facebook/Google насправді визначають, що ви використовуєте проксі?
Останнім часом використання проксі для приватності, арбітражу трафіку або маркетингу стало справжнім викликом. Ви купили чистий проксі, налаштували антидетект-браузер, прогріли cookies для імітації природної поведінки. Але через 30 секунд після входу в рекламний кабінет Facebook прилітає бан. Причина? «Підозріла мережева активність».
За даними останніх звітів Imperva Bad Bot Report, понад 70% блокувань у рекламних платформах пов'язано з мережевими аномаліями, а не лише з поведінковими патернами. Антифрод-системи (anti-fraud) BigTech-корпорацій, таких як Facebook (Meta) та Google, еволюціонували: вони не просто перевіряють IP на чорні списки, а аналізують «фізику» з'єднання за допомогою машинного навчання. Проксі-сервер як посередник неминуче залишає цифрові відбитки.
У цій статті ми розглянемо 7 рівнів перевірки, на яких платформи розпізнають проксі, навіть якщо IP виглядає ідеально чистим. Ми розберемо технічні деталі, приклади та практичні рішення. Для наочності використаємо інструменти на кшталт Wireshark, browserleaks.com та IP чекер від CyberYozh App (посилання в кінці статті).
Рівень 1: ASN та «Корпоративне тавро»
Це базовий фільтр, але він залишається фатальним для багатьох. Кожна IP-адреса має «паспорт» — приналежність до Автономної Системи (ASN), яку можна перевірити через WHOIS або бази на кшталт MaxMind.
Типи ASN:
ISP: Домашній інтернет (Comcast, Verizon, Lietpark Communications).
Mobile: Мобільні оператори (T-Mobile, THREE, Vodafone).
Hosting/Business: Дата-центри (AWS, DigitalOcean, Hetzner).
Підвох: Дешеві серверні проксі розміщуються в дата-центрах, де їхній ASN маркується як «корпоративний». Плюс, reverse DNS (rDNS) часто видає: замість user.provider.com — server.example.com.
Приклад для Google: Користувач логіниться в Gmail з User-Agent «Chrome / Windows 10». Трафік йде з дата-центру у Франкфурті, де немає житлових користувачів.
Висновок: Система бачить бота або VPN. Trust Score обнуляється.
Рішення: Вибирайте резидентські (residential) або мобільні проксі з ASN від реальних провайдерів. Перевіряйте rDNS на підозрілі патерни. Забудьте про дата-центри для завдань на кшталт Facebook Ads або Google Ads, де фільтри суворіші.
Рівень 2: Пасивний відбиток ОС (p0f та TCP/IP Stack)
Тут задіяний вищий пілотаж: аналіз TCP/IP стеку. Операційні системи формують мережеві пакети унікально, як відбитки пальців. Інструменти на кшталт p0f або ML-моделі BigTech витягують це пасивно.
Ключові параметри:
TTL (Time To Live): Windows — 128, Linux/Android/iOS — 64.
Window Size: Розмір вікна прийому даних.
TCP Options: Порядок заголовків (наприклад, MSS, Timestamp).
TLS Fingerprinting (JA3): Система аналізує структуру TLS Client Hello.
Уточнення: Якщо ви використовуєте звичайний HTTP/SOCKS проксі (метод CONNECT), TLS-рукостискання йде прямо від клієнта до сайту, тому проксі не впливає на JA3-хеш. У цьому випадку JA3 служить детектором «неправильного браузера» (бот, скрипт автоматизації), а не самого проксі. Однак, якщо проксі працює як MITM (розшифровує трафік) або ви використовуєте дешеві рішення без чистого тунелювання, JA3 зміниться і моментально викриє підміну. Факт же використання Linux-сервера як проксі найчастіше виявляється через TCP/IP fingerprinting (TTL), а не через TLS.
Приклад для Facebook: В антидетект-браузері обрано профіль «Windows 10», але з'єднання йде через проксі, піднятий на сервері Ubuntu (Linux). Facebook бачить User-Agent від Windows, але вхідні TCP-пакети мають TTL=64 (характерно для Linux), а не 128.
Висновок: Невідповідність (Mismatch). Система розуміє, що трафік йде через проміжний вузол на Linux. Довіра падає.
Рішення: Антидетект-браузери чудово маскують JA3 та заголовки, але вони не можуть змінити налаштування ядра віддаленого проксі-сервера.
Синхронізація: В ідеалі ОС проксі має збігатися з профілем (наприклад, мобільні проксі Android під профіль Android).
Passive OS Fingerprinting: Використовуйте проксі-провайдерів (таких як CyberYozh App), які вміють маскувати TCP/IP стек на мережевому рівні. Це дозволяє проксі на Linux надсилати пакети, які для Facebook виглядають як «рідні» пакети Windows або macOS.
Рівень 3: MTU та MSS — Розмір має значення
MTU (Maximum Transmission Unit) — максимальний розмір пакета без фрагментації. MSS (Maximum Segment Size) — його частина мінус заголовки.
Стандарти:
Ethernet (домашній): 1500
Мобільний (4G/5G): 1420–1480
Якщо ви використовуєте проксі, але бачите MTU характерний для VPN (наприклад, 1300), це сигнал для антифроду: ваш «резидентський» проксі насправді підключений через VPN-тунель (наприклад, OpenVPN — до 1350, WireGuard — вище).
Приклад для Amazon: IP резидентський, але MTU 1300 — ознака тунелю. В QUIC (протокол Google) це видно в UDP-пакетах.
Висновок: Трафік «упакований» — підозра на проксі.
Рішення: Тестуйте MTU через browserleaks.com або Wireshark. Налаштуйте тунелювання для імітації стандартних значень. Змінюйте провайдера, якщо аномалії зберігаються.
Рівень 4: Затримка (Latency) та Гео-тріангуляція
Швидкість світла — константа. Антифрод використовує атаку за часом (timing attacks): RTT (Round Trip Time) та порівняння з геолокацією.
Сценарій: Проксі в Нью-Йорку, ви в Києві, сервер Facebook у США.
Запит: Київ → Нью-Йорк → Сервер.
RTT — 300 мс замість 20–30 мс для локального користувача.
Доповнення: Тріангуляція через CDN — вимірювання RTT до кількох серверів. Плюс розбіжність із геолокацією API браузера.
Приклад для Facebook: IP в Нью-Йорку, але затримка як з Європи — «гак» через проксі.
Висновок: Невідповідність геолокації та пінгу. Трафік не прямий.
Рішення: Вибирайте проксі з низьким пінгом (<50 мс). Уникайте довгих ланцюжків (Double VPN). Вимкніть геолокацію в браузері.
Рівень 5: Відкриті порти та сканування
Проксі часто залишають «технічні» порти відкритими. Сайти використовують комбінований підхід: сервер антифроду сканує ваш IP зовні, а скрипти в браузері (через WebRTC) намагаються визначити вашу реальну локальну IP зсередини.
Червоні прапорці:
Порти 3128, 8080, 1080 (Squid/SOCKS).
Порти 22 (SSH), 23 (Telnet), 3389 (RDP).
WebRTC витоки: Розкриття реальної локальної IP за проксі.
У домашніх користувачів ці порти зазвичай закриті роутером/NAT.
Приклад для банку: Скрипт перевіряє — порти відкриті, ймовірність проксі 99%.
Висновок: Пристрій не домашній.
Рішення: Вибирайте провайдерів з фільтрами вхідних портів. Блокуйте/підміняйте WebRTC в антидетекте.
Рівень 6: Браузерні та поведінкові відбитки
Проксі не працює у вакуумі. Антифрод аналізує конгруентність (узгодженність) мережевих даних та відбитків браузера.
Критичні невідповідності:
Timezone & Language: Ваш IP знаходиться в Лондоні, але системний час браузера — UTC+3 (Київ), а заголовок Accept-Language — uk-UA. Це миттєвий «Red Flag».
Hardware: User-Agent заявляє, що це «iPhone», але мережеві затримки та MTU характерні для дротового інтернету в дата-центрі.
Behavior (Поведінка): Скриптові рухи миші (суворо по прямих лініях), відсутність мікро-пауз або «Impossible Travel» — вхід в акаунт з Берліна через 5 хвилин після виходу з Нью-Йорка.
Приклад для YouTube: Монетизація або перегляди списуються, якщо система бачить «роботизовану» поведінку на фоні ідеального резидентського IP.
Висновок: Комплексна аномалія. Навіть найкращий проксі не врятує, якщо профіль браузера налаштований недбало.
Рішення: Використовуйте якісні антидетекти. Синхронізуйте часовий пояс та геолокацію профілю з даними проксі. Імітуйте людську поведінку (хаотичні рухи миші, затримки, скролінг).
Рівень 7: Чорні списки та репутація IP
Антифрод-системи не ворожать, вони перевіряють історію. Бази на кшталт IPQualityScore (IPQS), MaxMind, ipdata маркують IP як «Proxy/VPN» або «Abuse» на основі його минулої активності.
Приклад для Google: Ваш IP може бути чистим зараз, але якщо тиждень тому з нього розсилали спам, він знаходиться в «чорному списку» (Blacklist). Google бачить прапорець High Fraud Score і блокує акаунт превентивно.
Висновок: Репутація IP зіпсована, хоча технічно з'єднання налаштовано вірно.
Рішення: Ніколи не довіряйте безкоштовним публічним чекерам — вони часто показують застарілі дані («IP чистий»), тоді як платні корпоративні бази вже позначили адресу як ризиковану. Використовуйте агрегатори, такі якCyberYozh App IP Checker. Ми використовуємо платні бази від лідерів ринку (включаючи IPQS та MaxMind), щоб показати вам реальну картину — саме те, що бачить антифрод-система сайту.
💡 Як читати звіт? Щоб правильно інтерпретувати параметри Fraud Score та зрозуміти, який рівень ризику припустимий для ваших завдань, рекомендуємо вивчити нашдетальний гайд по роботі з чекером.
Міфи про проксі у 2025 році
❌ Міф 1: VPN краще за проксі. Реальність: VPN додає додаткові службові дані (знижує MTU, підвищує latency) і легше детектується через специфічні протоколи шифрування.
❌ Міф 2: Безкоштовні проксі працюють. Реальність: Вони вже в чорних списках, працюють повільно і світять відкритими портами.
❌ Міф 3: Тільки IP важливий. Реальність: Повний стек (від TCP до поведінки миші) перевіряється AI.
Висновок: Як вижити у світі антифроду?
Антифрод-системи уважні до деталей, але не всесильні. У 2025 використання проксі — це інфраструктура, а не «чарівна пігулка».
Ваш чек-лист:
ASN та IP: Тільки Резидентські/мобільні, жодних дата-центрів. Перевіряйте rDNS.
Відбитки: Маскуйте TCP/IP (Passive OS Fingerprinting), TLS (JA3). Синхронізуйте ОС.
Протокол: SOCKS5 для «чистоти» трафіку.
Latency/MTU: Мінімізуйте затримки, тестуйте MTU на аномалії.
Порти/WebRTC: Закривайте порти, блокуйте витоки локальної IP.
Поведінка: Імітуйте людські патерни.
Перевірка: Для аналізу репутації IP використовуйтеCyberYozh App IP Checker (агрегує дані з преміум-баз), а для перевірки відбитків браузера — browserleaks.com.
У каталозі CyberYozh App ми враховуємо ці параметри на рівні архітектури. Ми надаємо чисті резидентські та мобільні IP без відкритих портів, з підтримкою Passive OS Fingerprinting (будь ласка, уточнюйте наявність цієї опції для вашого тарифу в техпідтримці) та правильними заголовками, щоб ви могли зосередитися на роботі, а не на боротьбі з банами.
Джерела та Інструменти:
