TLS & Fingerprint
JA3, JA4, TLS parmak izi: bot tespiti nasıl atlanır
Chrome 124 JA3/JA4 taklidi yeterli mi? Google'ın ikinci katman kontrolleri, HTTP/2 SETTINGS sırası ve hayalet protokolün üç katmanı — 2026 için güncel rehber.
TLS parmak izi, bir bağlantının 'nasıl' kurulduğunun kısa özetidir. JA3 (2017) tarayıcının ClientHello mesajını 32 karakterlik bir hash'e sıkıştırır. JA4 (2023) buna SNI, ALPN ve TLS versiyonunu ekler. Google'ın bot tespit hattı ikisini de okur; datacenter proxy üstünden Python requests trafiği JA3'ün ilk baytında ele verir. Ama sadece hash taklidi 2026'da yeterli değil — ikinci katman kontroller devreye girdi.
JA3 ve JA4 nedir
JA3, TLS ClientHello mesajındaki cipher suite listesi, extension sırası ve elliptic curve tercihlerini birleştirip MD5'ler. JA4 buna daha fazla alan (SNI, ALPN, TLS versiyon) ekler ve daha az çakışma üretir. İki hash de tarayıcı sürümüne göre nispeten stabildir — Chrome 124'ün JA3'ü tahmin edilebilir, ama bu tahmin edilebilirlik aynı zamanda zaaftır: bir botun aynı hash'i her seferinde üretmesi 'gerçek Chrome' değil, 'aynı Chrome'ı taklit eden istemci' işaretidir.
Chrome 124 hash'i neden yetmez
İlk yaklaşım naif: 'Chrome 124'ün JA3 hash'ini kopyala.' Sorun, Google'ın ikinci katman kontrolüyle başlıyor. Aynı JA3'e sahip bir istek, TCP RTT profili, TLS handshake mikro-zamanlaması ve HTTP/2 SETTINGS frame'in içerik sırasına göre 'gerçek Chrome' filtresine takılabilir. Hash doğru ama davranış yanlış.
# tipik yanlış: hash doğru, davranış yanlış JA3 = 769,47-53-5-10-...,0-11-10-...,23-24,0 RTT = flat (bot: eş dağılım) RTT = jitter (gerçek: değişken) H2 = SETTINGS sıra farkı → bayrak ALPN = h2 ama HTTP/3 denenmemiş → şüpheli
Google'ın ikinci katman kontrolleri
- —TCP RTT profili: gerçek cihazda coğrafyaya bağlı jitter vardır, botta genelde düz.
- —HTTP/2 SETTINGS + WINDOW_UPDATE dizisi: Chrome versiyona göre spesifik sıra kullanır.
- —TLS handshake mikro-zamanlaması: gerçek cihaz nanosaniye düzeyinde jitter üretir.
- —ALPN pazarlığı: HTTP/3 denenmeyen bağlantı 2024+ Chrome için anormaldir.
- —Client Hints tutarlılığı: sec-ch-ua başlığı JA3 ile aynı Chrome sürümünü işaret etmeli.
Hayalet protokolün üç katmanı
- —Handshake mikro-zamanlaması: gerçek cihaz jitter dağılımı simüle edilir.
- —TCP RTT profili: coğrafyaya göre gerçekçi latency eklenir.
- —HTTP/2 & HTTP/3 frame sırası: Chrome sürümüne özgü dizi birebir uygulanır.
HTTP/3 ve QUIC
Google 2024'ten itibaren Chrome trafiğinin %60'ından fazlasını HTTP/3 üstünden alıyor. HTTP/2 üstünden bağlanan bir istemci artık 'anomali' işareti taşıyor. Havuzdaki her profile Chrome 124'ün varsayılan protokol tercihi yüklüdür — önce HTTP/3 denenir, düşerse HTTP/2'ye iner. Bu düşüş kararı bile parmak izi.
2026 sonrası yeni doğrulama
Temmuz 2026 Core Update, TLS parmak izi doğrulamasına 'oturum sürekliliği' katmanı ekledi. Aynı cookie profilinin farklı isteklerinde JA3 hash'inin birebir sabit kalması gerekli; küçük varyasyon bile bayrak. Bu, ucuz TLS spoofing kütüphanelerini (curl-impersonate'nin bazı wrapper'ları dahil) devre dışı bıraktı. Doğru yaklaşım, gerçek Chrome binary'sini bulutta izole ortamda çalıştırmak — bizim yaklaşımımız bu.
"Parmak izi tek bir hash değil — istek serisinin ritmidir. Aynı ritmi iki kez üretirsen, ikinci sefer bot damgası yersin."
Sık sorulan sorular
curl-impersonate ile hit botu kurulur mu?▾
2024'e kadar iş görürdü. 2026 sonrası oturum sürekliliği doğrulaması nedeniyle tek başına yetersiz. Gerçek Chrome runtime olmadan sürdürülebilir sinyal üretmek zor.
Kendi Chrome'umu bulutta çalıştırabilir miyim?▾
Prensipte evet, pratikte pahalı. IP, cookie, coğrafya, zamanlama katmanlarını ayrıca çözmen gerekir. hitbotu.xyz bunları paketlenmiş sunar.
Fingerprint kütüphaneleri (fingerprint-injector vs.) yeterli mi?▾
JA3 için evet, JA4 + Client Hints + oturum sürekliliği için hayır. 2026'nın gerçek kontrolü zincirin bütününde.
hitbotu.xyz hangi Chrome sürümünü kullanıyor?▾
Havuz Chrome 122–126 arası dağıtımlı; her profil tutarlı bir sürüme sabittir. TLS + Client Hints + HTTP/2 SETTINGS aynı sürümü işaret eder.