深入剖析Akamai防护机制:基于TLS与Sensor的破盾技术

已于 2025-03-15 04:48:10 修改
阅读量2.3k 收藏 6
点赞数 2
分类专栏: 企业级反反爬虫架构设计与实现 文章标签: 爬虫
于 2021-05-09 22:08:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/jihongyu19870122/article/details/116571552
版权

作者:药尘韩立( hanli068 )
专栏:反反爬技术
日期:2025年3月14日

在Web爬虫与自动化脚本开发中,Akamai作为业界领先的反爬解决方案,其Bot Manager通过TLS指纹识别和Sensor数据校验等技术,有效拦截非人类流量。本文将深入剖析Akamai的TLS与Sensor机制,探讨破盾的核心思路,并提供高价值的实现方案与关键代码,助力开发者应对高并发场景下的防护挑战。

一、Akamai防护机制解析

1. TLS指纹识别

Akamai利用客户端与服务器在TLS握手过程中协商的参数(如加密套件、协议版本、扩展字段等),生成唯一的指纹。这一指纹可区分真实浏览器与自动化工具(如Python的requests库)。常见的TLS指纹特征包括:

  • JA3指纹:基于客户端Hello包的加密套件顺序和扩展。
  • TLS版本:如TLS 1.2或1.3。
  • 自定义扩展:如ALPN(应用层协议协商)。

若客户端TLS配置与目标浏览器不符,请求将被标记为异常。

2. Sensor数据校验

Sensor是Akamai通过JavaScript注入客户端收集的设备与行为数据,主要用于验证请求的合法性。其生成流程包括:

  • 数据采集:包括Canvas指纹、WebGL信息、时间戳等。
  • 加密传输:通过POST请求将sensor_data发送至服务器。
  • 动态变化:Sensor数据需随时间或行为动态更新,静态数据易被识别。

在高并发场景下,Sensor的有效性直接影响请求的通过率。

二、破盾核心思路

破盾的关键在于伪造合法的TLS指纹和Sensor数据,绕过Akamai的检测。基本流程如下:

  1. TLS伪装:模拟真实浏览器的TLS握手参数。
  2. Sensor生成:生成符合校验规则的sensor_data。
  3. 请求验证:利用返回的Cookie(如_abck)复用,完成Bypass。

三、TLS伪装实现

为绕过TLS指纹检测,我们需使用支持自定义JA3指纹的库(如tls_client),模拟主流浏览器(如Chrome)的TLS行为。

关键代码

python

收起自动换行复制

import tls_client

# 初始化TLS客户端,伪装为Chrome 120
session = tls_client.Session(
    client_identifier="chrome_120",
    ja3_string="771,4865-4866-4867,0-23-65281-10-11-35-16-5-13-18-51-45-43-27-21,29-23-24,0",
    h2_settings={
        "HEADER_TABLE_SIZE": 65536,
        "MAX_CONCURRENT_STREAMS": 1000,
        "INITIAL_WINDOW_SIZE": 6291456
    }
)

# 目标URL(示例)
url = "https://example.com"
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8"
}

# 发送请求并获取Cookie
response = session.get(url, headers=headers)
cookies = response.cookies.get_dict()
print("TLS伪装获取的Cookie:", cookies)

说明

  • ja3_string需根据目标网站的浏览器指纹动态调整,可通过Wireshark抓包分析。
  • h2_settings模拟HTTP/2协议行为,增强伪装真实性。

四、Sensor数据生成与优化

Sensor数据是破盾的核心,其生成需满足动态性和一致性要求。以Canvas指纹为例,直接生成静态值极易被识别。我们通过在绘制前添加随机噪声,模拟真实浏览器行为。

关键代码

javascript

优化点

  • 动态性:通过时间戳(Date.now())确保每次生成的值不同。
  • 噪声干扰:随机RGBA值模拟真实渲染差异。
  • 一致性:保持绘制逻辑与目标网站JS脚本一致。

五、高并发场景下的应对策略

在高并发环境下,TLS和Sensor的稳定性尤为重要。以下是优化建议:

  1. TLS池:预配置多个JA3指纹,轮询使用,降低单指纹被封禁的风险。
  2. Sensor缓存:将生成的sensor_data与Cookie绑定,复用有效期内数据(通常6小时),减少生成开销。
  3. 请求控制:结合代理池和多线程,将QPS控制在合理范围,避免触发频率限制。

六、验证与调试

验证Sensor有效性

  1. 检查返回状态:请求返回200且包含预期Cookie(如_abck),说明Sensor通过校验。
  2. 日志分析:若返回403,需检查TLS指纹或Sensor数据是否被识别。

调试技巧

  • 使用tls_client的调试模式,输出握手细节。
  • 在浏览器中运行Sensor生成代码,对比自动化脚本的输出差异。

七、总结

本文从Akamai的TLS指纹和Sensor数据入手,详细剖析了其防护机制,并通过代码示例展示了破盾实现:

  • TLS伪装:利用tls_client模拟浏览器指纹。
  • Sensor生成:通过动态Canvas噪声提升通过率。

在实际应用中,开发者需根据目标网站的JS更新持续优化策略。希望本文的技术方案能为你的Web爬虫项目提供助力!

【阿卡迈防护分析】Vueling航空Akamai实战
吴秋霖的博客
08-17 2933
vueling航空akamai防护分析实战
python 协议登入_分析app的登陆协议
weixin_39979332的博客
12-22 436
这是一篇逆向分析APP登陆流程的文章。1. 抓包(1) 抓包前将手机和电脑连接到同一WIFI,在手机设置好代理,装好证书,就可以开始抓包了。之前我遇到抓不到包的情况,换了几个代理工具也不行,最后是开着热点抓到包(一台开热点,另一台和电脑连接热点),或者换成手机抓包工具HttpCanary等也可以抓包。(2) 抓包环境配置好后,在登陆界面随便填一个账号密码:(3) 点击登录,查看Fiddler中的数...
爬虫中一些不同风控的标识
qq_40816289的博客
10-25 967
如果有人机校验 九宫格 或者说需要点一下 并且请求参数需要 r-cache-token 的基本都是recache 或者 hcache。如果在web端抓包的cookie里头包含_abck 或者 bm_sz。如果在app端抓包的hader里包含x-acf-sensor-data。recache或者hcache。
如何Akamai1.75 akami v2 akamai
hanli_lifeiyu的博客
10-08 1365
如何过Akamai | akamai1.75| 阿卡迈| 捷星航空|ti|nike|
akamai指纹护 TLS
最新发布
qq_33253945的博客
03-12 623
在实际项目中,我们经常会遇到一些网站对不同客户端的访问有不同的响应。例如,使用普通浏览器访问时一切正常,但使用 Python 脚本或curl请求时却会被拦截。即便尝试完全复刻数据包,也可能无济于事。最近拜读了一篇关于绕过 Cloudflare 指纹护的文章,终于明白了其中的奥秘。原来,这些反爬机制主要依赖于 TLS 指纹和 HTTP/2 指纹的识别技术。绕过 TLS 指纹识别和绕过 Akamai 指纹(HTTP/2 指纹)识别。
# Nike app协议登录|how to login nike app |snkrs 协议登录|snkrs bot nike app协议登录|snkrs 协议登录|snkrs 如何
韩立的专栏
05-09 2618
Nike app协议登录|how to login nike app |snkrs 协议登录|snkrs bot nike app协议登录|snkrs 协议登录|snkrs 如何|snkrs |nike |Nike 登录|nike bot|snkrs bot|snkrs 机器人|nike 机器人|nike 下单| 联系方式:->https://github.com/sopify-bot/nikebot nike app登录方式是有多种,我们基本上主要说以下两...
某运动APP登录协议分析
weixin_43632667的博客
07-09 1773
因为一直忙于考试,很久没有学习了,今天随意分析了一个app就当是恢复训练了 某APP登录协议分析 一、抓包 主要分析的是该APP的手机验证登录协议,首先启动Fillder开始抓包,打开该app,输入相关手机号和验证码 抓到的包如下: POST https://api.gotokeep.com/account/v2/sms HTTP/1.1 Content-Type: application/json; charset=UTF-8 Content-Length: 163 Host: api.gotoke.
Line APP端协议登录、群发、拉群功能
KG_181的博客
03-01 5112
Line APP
某app的登陆协议分析
wytor的博客
05-15 824
直接链接(一):https://www.52pojie.cn/forum.php?mod=viewthread&tid=1179651&page=1#pid31941611 链接(二):https://www.ioshacker.net/forum.php?mod=viewthread&tid=383&page=1#pid1624 有招兵买马的马 意向转ios逆向
akamai-nginx:根据akamai属性规则配置Nginx
05-15
该项目采用Akamai属性api json响应,并生成nginx集成的lua代码,以模拟akamai属性。 为什么? 依赖akamai属性规则的应用程序的本地开发。 由于组织政策,无法授予Akamai允许进入的非生产环境。 按需临时调配...
akamai-staging:命令行实用程序,用于为一个或多个域定位Akamai登台网络IP地址
05-11
akamai分期 快速开始 使用npm install -g akamai-staging全局npm install -g akamai-staging 运行staging [domain] 将输出追加到本地hosts文件 平台-Linux 平台-Windows 概述 一种命令行实用程序,用于为一个或多...
chrome-akamai-debug:用于将 Akamai 调试标头添加到请求中的 Chrome 扩展程序
06-24
Chrome-akamai-调试 用于将 Akamai 调试标头添加到请求中的 Chrome 扩展程序 安装 要安装稳定的发布版本,请访问以通过 chrome 网上商店进行安装。 要安装开发版本,请按照的说明进行操作 贡献 在项目页面上打开一...
hubot-akamai-ccu:谈论 Akamai CCU REST API https 的 hubot 脚本
06-04
hubot-akamai-ccu 谈论 Akamai CCU REST API hubot 脚本 有关完整文档,请参阅 。 安装 在hubot项目仓库中,运行: npm install hubot-akamai-ccu --save 然后将hubot-akamai-ccu添加到您的external-scripts.json...
Akamai2.0 Akamai1.75 sensor_data
hero706309的专栏
07-16 5829
Akamai2.0 Akamai1.75 sensor_data Akamai2 Akamai
Nike web如何协议登陆|snkrs 协议登录|snkrs bot
韩立的专栏
05-09 3360
Nike web如何登陆|snkrs 协议登录|snkrs bot how to login nike|snkrs login|snkrs app|snkrs 解|snkrs 协议下单|nike 协议下单 转载自联系方式:->https://github.com/sopify-bot/nikebot 众所周知,如何用协议的方式登录nike web端,需要以下几部分,_abck,bmsz; 当然也可以说sensor-data; 当然还有4.3号加入的x-kpsdk-ct、x-k...
nikebot NIKE AKAMAI BOT NIKE监控 nike补货监控 nike抽签 snrks
韩立的专栏
10-08 6007
转载github文章https://github.com/sopify-bot/nikebot nikebot NIKE AKAMAI BOT NIKE监控 nike补货监控 nike抽签 snrks 背景: ​ 研究nikebot有一段时间了,但是遇到了诸多问题,如何过akamai,如何解akami(),如何获取监控接口,监控接口是否响应及时(非缓存),如何登录、如何批量登录authorization、如何批量同时抢购几千双鞋、如何查询货品是否为热品;如何折扣码,如何0.01秒内拿到货品,如
akamai相关资料整理
寬真
09-19 4128
众所周知 耐克nick 阿迪adidas 德州仪器(TI ti.com) 得捷电子(digikey )贸泽电子(mouser)等较大的芯片 购物之类的网站都引入了akamai的js防机器人识别系统,现在最新的akamai版本是1.7,如果想实现http抢购,那么akamai的js 实现sensor_data 然后换取相关有用的_abck是必须的,然后模拟tsl(模拟浏览器怎么发送请求的 不是简单的python go php等)使用个requests就可以的,然后发送相关的数据,那么问题就解决了。
记录一次某app逆向登陆协议分析
wlj1442的博客
11-09 1692
首先看下登陆的数据 这里看到 post提交数据全部加密, 协议头上有appSign签名校验 这里使用查壳工具看到 加固方式是爱加密免费版加固 加固的话就没办法用androidKiller进行反编译了,首先得把加固给了 经过一系列的脱壳操作,直接把dex丢进jadx分析,老方法,首先搜索下请求路径 /api/auth/regist/100000 找到一处,点进去 是调用静态方法返回,继续搜索这个静态方法 定位到这个函数,看到关键字眼encodePhone,初步猜测 是先把手机号加密,在将加密后
Akamai JS _abck sensor_data 源码解读第三天 没办法了搞得头疼了,换JS替换 试试(8)
大叔刘
10-06 961
众所周知 耐克nick 阿迪adidas 德州仪器(TI ti.com) 得捷电子(digikey )贸泽电子(mouser)等较大的芯片 购物之类的网站都引入了akamai的js防机器人识别系统,现在最新的akamai版本是1.7,如果想实现http抢购,那么akamai的js 实现sensor_data 然后换取相关有用的_abck是必须的,然后模拟tsl(模拟浏览器怎么发送请求的 不是简单的python go php等)使用个requests就可以的,然后发送相关的数据,那么问题就解决了。 ..
python爬虫模拟登录app
01-16
### 使用Python实现爬虫模拟登录手机应用程序 对于大多数移动应用而言,直接通过HTTP请求来模拟登录并非易事,因为很多移动端的应用程序依赖于特定的协议栈或是专用API接口来进行通信。然而,在某些情况下,如果目标APP提供了Web API或者是基于WebView构建,则可以通过分析其网络流量找到用于身份验证的服务端点并尝试模仿这一过程。 #### 分析目标服务端口 为了成功地模拟登录流程,首先需要了解客户端是如何服务器交互完成认证工作的。这一步骤涉及抓包工具如Fiddler、Charles Proxy等捕获HTTPS流量,并解密SSL/TLS加密的数据流以便观察实际传输的内容[^1]。 #### 构建请求头和参数 一旦明确了POST/GET方法以及URL路径之后,就要准备相应的Headers(头部信息),其中包括但不限于User-Agent字段设置成对应平台版本号;同时还要准备好Form Data或者JSON Payload作为Body部分传递给远程主机以供校验账号密码合法性[^2]。 #### 发送登录请求 利用`requests.Session()`对象可以方便管理整个会话期间内的Cookies和其他上下文属性,从而简化连续性的多步操作逻辑。下面给出一段简单的代码片段展示如何发起一次基本的身份验证: ```python import requests login_url = 'https://example.com/api/v1/login' headers = { "Content-Type": "application/json", "User-Agent": "YourApp/Version" } data = {"username":"your_username", "password":"your_password"} session = requests.session() response = session.post(login_url, json=data, headers=headers) if response.status_code == 200 and response.json().get('success'): print("Login successful!") else: print(f"Failed to login: {response.text}") ``` #### 处理动态验证码 当遇到图形验证码或者其他形式的人机挑战时,可能需要用到OCR技术识别图片中的文字字符,亦或是借助第三方服务商提供的打码平台API接口自动解析返回结果再填入相应位置继续执行下一步动作[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值