JA3-JA4-scanner
Описание JA3-JA4-scanner
JA3-JA4-scanner — это утилита, которая покажет JA3 и JA4 отпечатки для программы на вашем компьютере (веб-браузера, утилиты командной строки или любого другого приложения, умеющего делать запросы по HTTPS протоколу).
JA3 и JA4 это TLS отпечатки, представляющие собой небольшие строки хешей.
TLS Fingerprinting — это техника получение уникальных отпечатков клиентов и серверов, позволяющих определить тип используемого программного обеспечения (веб-браузер, консольная утилита, бот, вредоносное ПО и прочее).
Для идентификации используется рукопожатие TLS (Transport Layer Security). Причём используется незашифрованная часть передаваемых данных — то есть расшифровывать данные не нужно.
В TLS handshake достаточно уникальных признаков, позволяющих идентифицировать клиента (к какой группе программного обеспечения он относится) и, иногда, даже версию программы.
TLS fingerprint представляет собой хеш, полученный хешированием идентифицирующих признаков клиента или сервера.
Обычно разные группы клиентов имеют различные значения TLS fingerprint, но при этом иногда значения хешей могут совпадать для несвязанных утилит и программ.
Различают TLS отпечатки серверов и клиентов. Иногда одно и та же программа может быть и серверов (прослушивать входящие соединения) и клиентом (инициировать соединения) — например, такое встречается среди вредоносного программного обеспечения, выполняющего роль инфраструктуры Command and Control (также известны как C2 или C&C).
Описание выводимых полей:
- JA3 — первоначальный вариант TLS отпечатка клиента. В настоящее время веб-браузер Google Chrome активно противостоит получению этого TLS отпечатка — в результате для веб-браузера Google Chrome это значение каждый раз разное.
- JA3_FULL — сырые данные, используемые для получения хеша JA3.
- JA3N — улучшенный вариант JA3 — в нём выполнена сортировка той части данных, порядок которых рандоминизируется в Google Chrome, благодаря этому хеш становится одинаковым для всех запросов Google Chrome (и других приложений, которые используют такой способ воспрепятствования сбору TLS отпечатков).
- JA3N_FULL — сырые данные, используемые для получения хеша JA3N.
- JA4 — следующая версия TLS отпечатка клиента. В настоящее время для веб-браузера Google Chrome даёт одинаковые результаты.
- JA4_R — сырые данные, используемые для получения хеша JA4.
Домашняя страница: https://kali.tools/?p=7311
Автор: Alexey Miloserdov
Лицензия: GPLv3
Справка по JA3-JA4-scanner
Использование:
Запустите скрипт с правами root:
sudo bash ja3-ja4-scanner.sh
Скрипту нужно совсем небольшое время чтобы подготовиться для работы — около секунды.
После этого откройте адрес https://w-e-b.site любым приложением (например, веб-браузером) для которого вы хотите просканировать JA3 и JA4.
Практически сразу после открытия указанного адреса, программа выведет хеши JA3 и JA4 (а также JA3_FULL и JA4_R) и завершит работу.
Опции:
У программы нет опций.
Руководство по JA3-JA4-scanner
Страница man отсутствует.
Примеры запуска JA3-JA4-scanner
Пример 1.
Пример использования JA3-JA4-scanner для получения отпечатков JA3 и JA4 для утилиты cURL.
В первом окне терминала запустите JA3-JA4-scanner:
sudo bash ja3-ja4-scanner.sh
В другом окне терминала выполните команду, указав в качестве URL https://w-e-b.site:
curl -A 'Chrome' 'https://w-e-b.site'
Пример 2.
Аналогично можно получить отпечатки JA3 и JA4 для утилиты wget
В первом окне терминала запустите JA3-JA4-scanner:
sudo bash ja3-ja4-scanner.sh
В другом окне терминала выполните команду, указав в качестве URL https://w-e-b.site:
wget 'https://w-e-b.site'
Пример 3.
Получение JA3 и JA4 для веб-браузера Firefox:
Запустите JA3-JA4-scanner:
sudo bash ja3-ja4-scanner.sh
Откройте в Firefox адрес https://w-e-b.site.
Установка JA3-JA4-scanner
Установка в Kali Linux
sudo apt install tshark wget https://kali.tools/files/scripts/ja3-ja4-scanner.sh
Установка в BlackArch
sudo pacman -S wireshark-cli wget https://kali.tools/files/scripts/ja3-ja4-scanner.sh
Установка в Ubuntu, Linux Mint, Debian
sudo apt update sudo apt install tshark wget https://kali.tools/files/scripts/ja3-ja4-scanner.sh
Скриншоты JA3-JA4-scanner
Инструкции по JA3-JA4-scanner
Ссылки на инструкции будут добавлены позже.
- Бесплатный онлайн сервис сканирования TLS отпечатков клиентских приложений (сканер JA3 и JA4): https://suip.biz/ru/?act=client-tls-fingerprinting
- Онлайн сканер JA3 и JA4 (зеркало): https://w-e-b.site/?act=client-tls-fingerprinting
У этого онлайн сервиса имеется вариант для консольных утилит, его адрес https://suip.biz/?act=ja4, пример использования:
curl -A 'Chrome' 'https://suip.biz/?act=ja4'
Comments are Closed