JA3-JA4-scanner


Описание JA3-JA4-scanner

JA3-JA4-scanner — это утилита, которая покажет JA3 и JA4 отпечатки для программы на вашем компьютере (веб-браузера, утилиты командной строки или любого другого приложения, умеющего делать запросы по HTTPS протоколу).

JA3 и JA4 это TLS отпечатки, представляющие собой небольшие строки хешей.

TLS Fingerprinting — это техника получение уникальных отпечатков клиентов и серверов, позволяющих определить тип используемого программного обеспечения (веб-браузер, консольная утилита, бот, вредоносное ПО и прочее).

Для идентификации используется рукопожатие TLS (Transport Layer Security). Причём используется незашифрованная часть передаваемых данных — то есть расшифровывать данные не нужно.

В TLS handshake достаточно уникальных признаков, позволяющих идентифицировать клиента (к какой группе программного обеспечения он относится) и, иногда, даже версию программы.

TLS fingerprint представляет собой хеш, полученный хешированием идентифицирующих признаков клиента или сервера.

Обычно разные группы клиентов имеют различные значения TLS fingerprint, но при этом иногда значения хешей могут совпадать для несвязанных утилит и программ.

Различают TLS отпечатки серверов и клиентов. Иногда одно и та же программа может быть и серверов (прослушивать входящие соединения) и клиентом (инициировать соединения) — например, такое встречается среди вредоносного программного обеспечения, выполняющего роль инфраструктуры Command and Control (также известны как C2 или C&C).

Описание выводимых полей:

  • JA3 — первоначальный вариант TLS отпечатка клиента. В настоящее время веб-браузер Google Chrome активно противостоит получению этого TLS отпечатка — в результате для веб-браузера Google Chrome это значение каждый раз разное.
  • JA3_FULL — сырые данные, используемые для получения хеша JA3.
  • JA3N — улучшенный вариант JA3 — в нём выполнена сортировка той части данных, порядок которых рандоминизируется в Google Chrome, благодаря этому хеш становится одинаковым для всех запросов Google Chrome (и других приложений, которые используют такой способ воспрепятствования сбору TLS отпечатков).
  • JA3N_FULL — сырые данные, используемые для получения хеша JA3N.
  • JA4 — следующая версия TLS отпечатка клиента. В настоящее время для веб-браузера Google Chrome даёт одинаковые результаты.
  • JA4_R — сырые данные, используемые для получения хеша JA4.

Домашняя страница: https://kali.tools/?p=7311


Автор: Alexey Miloserdov

Лицензия: GPLv3

Справка по JA3-JA4-scanner

Использование:

Запустите скрипт с правами root:

sudo bash ja3-ja4-scanner.sh

Скрипту нужно совсем небольшое время чтобы подготовиться для работы — около секунды.


После этого откройте адрес https://w-e-b.site любым приложением (например, веб-браузером) для которого вы хотите просканировать JA3 и JA4.

Практически сразу после открытия указанного адреса, программа выведет хеши JA3 и JA4 (а также JA3_FULL и JA4_R) и завершит работу.

Опции:

У программы нет опций.

Руководство по JA3-JA4-scanner

Страница man отсутствует.

Примеры запуска JA3-JA4-scanner

Пример 1.

Пример использования JA3-JA4-scanner для получения отпечатков JA3 и JA4 для утилиты cURL.

В первом окне терминала запустите JA3-JA4-scanner:

sudo bash ja3-ja4-scanner.sh

В другом окне терминала выполните команду, указав в качестве URL https://w-e-b.site:

curl -A 'Chrome' 'https://w-e-b.site'

Пример 2.

Аналогично можно получить отпечатки JA3 и JA4 для утилиты wget

В первом окне терминала запустите JA3-JA4-scanner:

sudo bash ja3-ja4-scanner.sh

В другом окне терминала выполните команду, указав в качестве URL https://w-e-b.site:

wget 'https://w-e-b.site'

Пример 3.

Получение JA3 и JA4 для веб-браузера Firefox:

Запустите JA3-JA4-scanner:

sudo bash ja3-ja4-scanner.sh

Откройте в Firefox адрес https://w-e-b.site.


Установка JA3-JA4-scanner

Установка в Kali Linux

sudo apt install tshark
wget https://kali.tools/files/scripts/ja3-ja4-scanner.sh

Установка в BlackArch

sudo pacman -S wireshark-cli
wget https://kali.tools/files/scripts/ja3-ja4-scanner.sh

Установка в Ubuntu, Linux Mint, Debian

sudo apt update
sudo apt install tshark
wget https://kali.tools/files/scripts/ja3-ja4-scanner.sh

Скриншоты JA3-JA4-scanner

Инструкции по JA3-JA4-scanner

Ссылки на инструкции будут добавлены позже.

У этого онлайн сервиса имеется вариант для консольных утилит, его адрес https://suip.biz/?act=ja4, пример использования:

curl -A 'Chrome' 'https://suip.biz/?act=ja4'

Близкие программы:

  • JARM (76.4%)
  • JA3S-JA4S-scanner (76.4%)
  • Bypass firewalls by abusing DNS history (73.9%)
  • Nmap (54%)
  • testssl.sh (54%)
  • DIRB (RANDOM - 1.4%)
  • Рекомендуется Вам:

    Comments are Closed