TLS 及其前身 SSL 被广泛用于常见应用程序和恶意软件的加密通信,以确保数据安全,因此能够隐藏在网络噪音中。要启动 TLS 会话,客户端会在 TCP 三次握手之后发送 TLS Client Hello 数据包。此数据包及其生成方式取决于构建客户端应用程序时所使用的库和方法。服务器如果接受 TLS 连接,将基于服务端库与配置,以及 Client Hello 中的详细信息,生成并回发一个 TLS Server Hello 数据包进行响应。由于 TLS 协商过程以明文形式传输,因此可以利用 TLS Client Hello 数据包中的细节来指纹并识别客户端应用程序。

按照 JA3 开发者的自述,在三次握手之后,客户端向服务端发起 Client Hello 包,这个包中带有客户端的一些特征信息,供服务端解析。服务器解析数据包后,会回发一个 Server Hello 包给客户端,之后双方再进行 SSL 数据交互。

以下内容来自 John Althouse 的文章:

JA3 并不是简单地查看使用的证书,而是解析在 SSL 握手期间发送的 TLS Client Hello 数据包中设置的多个字段。通过生成的指纹,可以实现识别、记录、告警和/或阻止特定流量。

JA3 在 SSL 握手中会检查 Client Hello 数据包,以收集 SSL 版本和支持的密码列表。如果客户端支持,还会收集所有支持的 SSL 扩展、所有支持的椭圆曲线,以及椭圆曲线点格式。这些字段之间以逗号分隔,多个值之间以短划线分隔(例如,每个支持的密码会用短划线分隔列出)。

JA3 方法用于收集 Client Hello 数据包中以下字段的字节十进制值:版本、支持的密码、扩展列表、椭圆曲线和椭圆曲线格式。然后按照顺序将这些值连接在一起,字段之间用“,”分隔,字段中的多个值用“-”分隔。

需要注意的是,JA3 指纹并不仅在 TLS 1.3 上支持,在 TLS 1.2 上同样也支持。不过,要正确识别 JA3 指纹,通常需要 Wireshark 的最新版。

另一方面,还有一种与 JA3 类似的概念,叫做浏览器指纹。浏览器指纹不会因为更换 IP 或 User-Agent 而改变。即使你不使用模拟浏览器,而是直接使用 Golang 或 Python,它们也各自带有独特且固定的指纹。只要网站发现某个拥有特定指纹的客户端持续高频率访问,它就有可能直接封禁该客户端。

GPT总结

本文系统介绍了 JA3 指纹的原理与应用,重点阐述了其在 TLS/SSL 握手过程中如何通过 Client Hello 数据包生成指纹,从而识别客户端的行为特征。同时说明了 JA3 不局限于 TLS 1.3,也适用于 TLS 1.2,但需要最新版 Wireshark 才能有效检测。

此外,文章还补充了浏览器指纹的相关概念,指出其与 IP 或 User-Agent 无关,甚至在不同语言的实现(如 Golang、Python)中也会存在固定的指纹特征。综合来看,JA3 与浏览器指纹在流量识别、反爬虫和安全分析中都发挥着重要作用,但同时也给突破与对抗检测带来了新的挑战。