当你通过代理访问这个网站的时候,会被检测出你使用了代理,本期就来给大家讲讲各种代理检测的原理以及绕过方法。
相信大家或多或少都遇到过,访问某些网站的时候,提示你正在使用代理,无法使用某些服务的情况。
网站是如何知道我们使用了代理呢?除了通过最基础的IP判断,还有哪些检测手段?本文给大家盘点以下4种检测代理的类型,分别是:
- 代理IP自身问题
- 网络行为异常问题
- 代理配置不当问题
- 系统环境不符问题
首先,可以通过这个网页(https://proxy.888005.xyz)简单的进行了代理检测,估计大部分使用代理的朋友都会被检测出来,因为这个网页调整到了最严格的检测状态,稍微有点代理特征就会标记为代理用户。
为了更直观的展示,我们可以访问这个网页(详细检测:https://proxy.incolumitas.com/proxy_detect.html),感受更详细的代理检测手段。
上图是我当前的代理环境,多项检测都被标红,说明检测出了代理特征,绿色部分表示未检测出代理特征,可以说我的代理环境非常糟糕,如果以这种状态去运营TikTok,或者登陆网银之类的风控等级很高的网站,大概率会死的很难看。
任何盈利性网站,都不可能公布自家检测代理的方法,本文讲解各种理论上可行的检测方式,事实上很少有网站会做这么严格的限定,可能只会检测其中的一两项,甚至可能只要更换一个优质的住宅IP就能解决问题。所以不一定非要全绿才能正常使用,有些检测手段很难绕过,且不同检测手段存在关联,容易顾此失彼。
另外大家使用的代理工具,代理配置以及操作系统都不一样,导致检测结果和解决方法也不一样,本文不可能每种情况都给大家做演示,只能简单讲一下绕过检测的方法,具体在你的环境下如何解决需要你自行研究。
另外如果你是小白用户,感觉很麻烦难以搞定,本文最后给大家介绍的既简单又究极的解决方法。
下面针对4种检测代理展开讨论。
第一类:代理IP本身的问题
即你使用的代理IP本身就被该网站屏蔽了,这是最常见的检测手段。
以下图为例,我们通过代理访问某网站的时候,网络拓朴结构会是:你家宽带运营商分配给你的住宅IP 3.3.3.3,连接的代理IP 6.6.6.6,由代理IP帮我们访问这个网站。
所以这个网站看到的IP是这个代理节点的IP 6.6.6.6,这个blocklist的检测项显示红色,就表示当前我使用的代理节点IP,存在于这个网站的黑名单中。
如果你是使用机场节点或者使用价格便宜更换IP门槛很低的VPS自建节点,以及被很多人当住宅IP用的伪住宅IP,很有可能在黑名单列表。因为这种IP是很多人一起用的,你不知道别人用这个IP干过什么事,比如搭建公共代理,批量注册,发送垃圾邮件钓鱼诈骗等滥用行为,因此这个IP就会被各大IP数据库公司,收集到黑名单列表里,而这个检测网站调用了IP数据库,通过对比发现你的IP在黑名单列表里,于是就判断你正在通过代理访问。
点击上图中的【More Info】,可以看到更详细的信息。
这里的is_proxy为true,就表示这项检测查出了你正在使用代理IP访问网站,依据就是你的IP在黑名单里,可以细分为以下几项:
- is_VPN为false – 表示这个IP不是VPN的出口IP,主要检查市面上比较大点的VPN商家,比如expressVPN,nordVPN Surfshark等;
- 第二项为true表示这是代理,
- 第三项tor为false表示这不是一个tor节点,至于什么是tor节点,请自行Google;
- 最后就是这个IP是不是被人滥用了,比如发送垃圾邮件钓鱼诈骗等行为,显示true就表示近期有过这种行为,总之就是这个IP不干净。
如果你只是用这个IP访问谷歌,或者YouTube之类对风控不是很严格的网站,可能没什么影响,最多让你输入一下验证码,不会阻止你的正常使用,而如果你是运营TikTok、Facebook,paypal之类对风控要求较高的网站,可能会导致你的账号出问题。
第二类:网络行为异常的检测
顾名思义就是在和没有代理的情况下的网络行为不一样,比如这项延迟检测被标红,详情可以看到被检测出了代理,主要检测TCP连接和websocket连接的延迟。
这个网站的服务器位于美国,在没有使用代理的情况下,我访问网站是直接从中国连接美国的服务器,首先建立TCP连接,假设延迟为150毫秒.
然后建立WS连接,同样假设延迟为150毫秒,而如果使用美国节点访问这个网站,我首先需要连接到美国的节点,假设TCP延迟是150毫秒,这个美国节点会帮我们访问网站,所以他会和这个网站建立TCP连接,由于地理位置很接近,假设延迟为5毫秒,接着我这台电脑发起WS连接,数据来到美国节点,耗时150毫秒,再由美国节点转发给网站,耗时5毫秒,所以建立WS连接总共耗时155毫秒,而建立TCP连接只记录美国节点到美国网站的耗时,也就是5毫秒,网站只能看到的是节点服务器和他再进行通信。
正常情况下,TCP和WS的连接延迟不可能相差这么多,当差值过大就会被标记为代理 — 这就是该延迟检测的原理。解决办法是使用就近的代理节点,缩短代理与本机之间的延迟,如下图:
香港节点到美国网站的TCP延迟是211毫秒,我的电脑到香港节点的延迟大概是20毫秒,所以从我的电脑经过香港节点,到美国网站的WS延迟为233毫秒,由于二者的差值较小,所以并没有检测出代理,有些朋友因业务需要必须要用美国节点的话,请参考本文最后的解决方案。这个检测很难绕过。
接下来的网络解析也属于网络行为异常,当前判定为代理主要有两项检测:
第一个是通过DNS解析行为来判断;
第二个是通过能否从非标端口加载脚本来判断;
当前是因为DNS解析异常导致被判断为代理,该网站会随机访问一个不存在的域名,众所周知访问网站之前会先进行DNS解析,获取域名对应的IP地址,当DNS解析一个不存在的域名时,正常情况下会立即返回空的解析,访问的报错信息是DNS解析错误,而不正常的情况就像现在这样,等待3秒后访问的报错信息是超时,说明这个不存在的域名却分配到了IP,并且访问这个IP超时了,通过这个异常行为来判定存在代理,有点牵强,正常情况下大家应该都是绿色的正常检测结果,因为即使是fakeip也能正常处理空解析不会超时,但有个例外是小火箭的配置模式会导致访问超时,而代理模式就可以正常访问,两种模式的最终结果都是走代理,按理来说不应该出现不同的测试结果,具体原因不明 小火箭用户可以试试看。
第三类:代理配置不当,泄露本机或者上游IP
导致被判定为代理,正常情况下这个网站应该只能知道,我们正在使用代理的IP地址,但由于不当的代理配置,导致本机的IP也被网站知道了。当发现你访问网站用的IP,和本机暴露的IP不一致的时候,就判定你在使用代理。
最常见的手段就是WebRTC泄露本机IP,简单来讲,WebRTC默认是通过UDP传输的,如果你使用的代理配置只将TCP数据交给节点处理,而UDP数据通过直连发给对应的服务器,毫无疑问UDP通信将会暴露我们的真实IP地址,通过WebRTC检测到了我们的IP是A,也就是用来进行UDP通信的IP是A,而我们访问网站实际用的IP是B,也就是用来进行TCP通信的IP是B,正常情况下TCP通信和UDP通信用的IP是一样的,当发现二者不匹配的时候就会被标记为代理。
如果你是使用系统代理模式,或者在浏览器安装代理插件的模式,都无法将UDP流量交给节点,网站会获取到你的真实IP,并将你标记为代理用户,这种情况你可以通过安装浏览器插件来屏蔽WebRTC通信。
但如果你是使用软路由或者Tun模式接管系统全局流量,正常情况下UDP流量就会交给节点处理,除非你手动关闭了UDP代理,这种情况不需要额外操作,TCP通信和UDP通信都是使用同一个节点的IP,能直接绕过WebRTC检测。
除了直接泄露本机IP,也可能通过其他方面的泄露来判定存在代理,比如颇具争议的DNS泄露检测,关于这个话题颇为复杂,此处我们不讨论如何防止,敏感网址泄露给不可信的DNS提供商,只简单介绍DNS泄露检测的工作原理。
我们在访问检测网站之前,会先发起DNS请求获取网站的IP地址,当我们确定网站需要使用代理的时候,就应该将获取该网站IP的DNS交给节点处理,由节点帮我们处理DNS请求,代理检测网站可以知道是哪个DNS,服务商对数据进行了处理,当发现访问者是美国的,也同样使用美国的DNS提供商处理DNS请求,就表示没有泄露;但代理配置不当的话,就会将DNS请求交给国内的DNS提供商处理,代理检测网站发现你是美国的用户,但是为什么会用中国的DNS服务,显然是不合理的,于是将你标记为代理,要解决这个问题的话确实比较麻烦,需要具体问题具体分析,并不是开了全局就不会泄露。
第四类:系统本身环境暴露了代理特征,比如TCP/IP指纹
众所周知代理节点负责帮我们访问网站,也就是节点通过三次握手,和网站建立TCP连接,网站收到节点的握手数据包,由于各操作系统建立连接的默认参数不同,所以检测网站可以通过TCP数据包的序列号,flag标志位和滑动窗口大小等信息来判断,和自己建立连接的是什么操作系统,最简单的比如我们ping windows系统和linux系统,两个系统的TTL默认值是不同的。
可以看到目前被判定为了代理,这里是可能是某个系统的概率:
数值越大则表示概率越高,其中chromium OS的数值最大,说明节点服务器是chromium系统的概率最高,而配本文示例使用的是Mac系统访问这个检测网站,当二者不一样的时候就会被标记为代理。
下面这些就是TCP建立连接时的参数,通过这些参数计算出是chromium系统的概率最高,要绕过这种检测方式我们可以通过插件,修改浏览器的User-Agent,改成对应的目标系统即可。
因为该网站获取你用的是什么操作系统,就是通过HTTP请求中附带的User-Agent,但这种治标不治本,如果是在APP里进行检测的话我们就没辙了,当然你也可以在和你本地对应的系统上自建节点,比如将节点搭建在Windows系统上,本地也使用Windows系统连接,或者将节点搭建在linux系统上,本地使用linux系统连接,但本地是iOS的话就没办法了,毕竟没有iOS的VPS购买。
另外还有时区问题,目前被检测出了代理,原因是本机的时区是上海,而节点是香港的IP,用香港的IP上网时区应该也是香港的,虽然他们都是UTC+8,但不是同一时区,所以还是被标记为代理,解决这个问题比较简单,可以使用浏览器插件,或者直接将系统时区改成和节点IP地理位置一样的,就可以绕过这项检测了,你也可以使用指纹浏览器,指纹浏览器还可以解决一些,专门针对浏览器指纹的检测。
上述就是关于代理检测的内容,通过一些手段,我们可以绕过上面的代理检测,但一定会存在无法绕过的代理特征,不可能完全隐藏掉,只不过本文这个网页没有检测罢了。
终极解决方案
如果你真的不想暴露任何代理特征,请参考以下终极解决方案:
使用Windows远程桌面:给VPS安装Windows桌面操作系统,通过远程桌面的方式连接VPS,相当于在远程操控这台Windows电脑,并没有使用代理,自然也就检测不出任何代理特征。
