Антидетект-браузеры стали главным оружием в арсенале фродеров. С их помощью один человек управляет сотнями «уникальных» браузерных профилей, каждый из которых выглядит как отдельное устройство. Рекламные платформы видят сотню разных пользователей — а на деле за ними стоит один скликиватель с ноутбуком и пачкой резидентских прокси. Для рекламодателей, теряющих бюджеты, понимание того, как устроены эти инструменты и где находятся их уязвимости, — вопрос выживания бизнеса.
В этой статье мы детально разберём устройство антидетект-браузеров, покажем, что именно они подменяют, а что подменить не в состоянии, и объясним, почему сетевой анализ на уровне TCP/TLS — единственный надёжный способ выявления фрода.
Что такое антидетект-браузеры и зачем они нужны
Антидетект-браузер — это модифицированная сборка на базе Chromium (реже Firefox), которая позволяет создавать изолированные браузерные профили с полностью настраиваемым цифровым отпечатком. Каждый профиль имитирует отдельное устройство: собственный User-Agent, разрешение экрана, набор шрифтов, параметры canvas и WebGL, часовой пояс и десятки других характеристик.
Изначально такие инструменты позиционировались для легитимных задач: SMM-специалисты управляли аккаунтами клиентов, арбитражники трафика работали с партнёрскими программами, тестировщики проверяли локализацию и геозависимую выдачу контента. Однако на практике основная аудитория антидетект-браузеров — это люди, которым нужно обходить системы обнаружения: фродеры, занимающиеся скликиванием рекламы, создатели фейковых аккаунтов в социальных сетях и мессенджерах, операторы ботнетов и специалисты по обходу антифрод-систем.
Ключевое отличие антидетект-браузера от обычного Chrome с подменённым User-Agent — комплексный подход. Меняется не один параметр, а целая экосистема значений, которые должны быть внутренне непротиворечивы. Профиль «macOS + Safari + Retina-дисплей» подразумевает определённый набор шрифтов, характерный рендеринг canvas, специфичные значения navigator.platform — и всё это должно совпадать.
Основные игроки рынка антидетект-браузеров
Рынок антидетект-браузеров активно развивается. Рассмотрим пять наиболее популярных решений, которые чаще всего используются в схемах рекламного фрода.
Multilogin
Один из первых и наиболее известных антидетект-браузеров на рынке. Предлагает два движка: Mimic (на базе Chromium) и Stealthfox (на базе Firefox). Поддерживает командную работу, облачное хранение профилей и интеграцию с инструментами автоматизации через API. Ценовая политика начинается от $99/мес, что позиционирует его как премиальное решение. Multilogin часто выбирают крупные фрод-команды, которым нужна стабильность и масштабируемость.
GoLogin
Более доступная альтернатива Multilogin с бесплатным тарифом. Работает на базе Chromium, предлагает облачные профили и встроенные прокси. GoLogin отличается простым интерфейсом и подходит для массового создания профилей. Поддерживает запуск в облаке без локальной установки — что удобно для фродеров, работающих с арендованными серверами.
Dolphin Anty
Популярный в русскоязычном сегменте антидетект-браузер, ориентированный на арбитраж трафика и работу с рекламными аккаунтами. Предлагает бесплатный тариф на 10 профилей, интеграцию с популярными прокси-сервисами и встроенную автоматизацию. Dolphin Anty активно используется для масштабного скликивания рекламы в рунете: его интеграция с Dolphin Cloud позволяет запускать сотни профилей параллельно.
AdsPower
Китайский антидетект-браузер с двумя движками (Sun Browser на базе Chromium и Flower Browser на базе Firefox). Отличается мощной системой автоматизации на базе RPA — встроенный визуальный конструктор сценариев позволяет автоматизировать клики, скроллинг и заполнение форм без написания кода. Именно эта возможность делает AdsPower инструментом выбора для автоматизированного скликивания.
Octo Browser
Позиционирует себя как решение для профессиональных команд. Работает на модифицированном ядре Chromium, предлагает продвинутую подмену отпечатков и API для программного управления профилями. Octo Browser подчёркивает качество эмуляции отпечатков — профили проходят проверки на популярных сервисах вроде BrowserLeaks и CreepJS.
Как работают антидетект-браузеры: механика подмены
Чтобы понять уязвимости антидетект-браузеров, нужно разобраться в том, что именно они подменяют и на каком уровне.
Что успешно подменяется
Антидетект-браузеры модифицируют код Chromium на уровне исходников или перехватывают вызовы JavaScript API. Вот что они могут подменить достаточно убедительно:
Canvas fingerprint. Каждый профиль генерирует уникальный хеш canvas за счёт внесения контролируемого шума в рендеринг 2D-графики. Инструменты вроде BrowserLeaks показывают разные отпечатки для разных профилей.
WebGL fingerprint. Подменяются строки GL_RENDERER и GL_VENDOR, а также параметры WebGL-рендеринга. Профиль может представляться как устройство с видеокартой Apple M1, хотя физически работает на Windows-машине с NVIDIA.
Свойства navigator. User-Agent, platform, vendor, language, hardwareConcurrency, deviceMemory — все эти свойства объекта navigator настраиваются для каждого профиля. Профиль «iPhone Safari» вернёт navigator.platform = «iPhone», соответствующий User-Agent и maxTouchPoints = 5.
WebRTC. Локальный и публичный IP-адреса, получаемые через WebRTC, подменяются или блокируются. Это предотвращает утечку реального IP при использовании прокси.
Список шрифтов. Набор установленных шрифтов, определяемый через CSS или JavaScript, модифицируется для соответствия целевой ОС. Профиль macOS будет показывать San Francisco и Helvetica Neue, а не Segoe UI.
Разрешение экрана и параметры дисплея. screen.width, screen.height, devicePixelRatio, colorDepth — все эти значения настраиваются. Профиль может эмулировать Retina-дисплей с devicePixelRatio = 2.
Часовой пояс и геолокация. Timezone задаётся в соответствии с IP-адресом прокси. Intl.DateTimeFormat().resolvedOptions().timeZone возвращает значение, соответствующее «местоположению» профиля.
На уровне JavaScript-проверок такой профиль выглядит безупречно. Скрипт антифрод-системы, работающий в браузере, увидит полностью согласованный набор параметров, соответствующий реальному устройству.
Что подменить невозможно: сетевой уровень
И здесь начинается самое интересное. Антидетект-браузеры работают на уровне приложения — они модифицируют браузер. Но сетевое взаимодействие происходит на уровнях ниже: транспортный (TCP) и уровень защиты (TLS). Эти параметры формируются операционной системой и сетевым стеком, а не браузером. И именно здесь антидетект-браузеры бессильны.
TCP-отпечаток: операционную систему не скроешь
Каждая операционная система имеет характерную реализацию TCP-стека. При установке TCP-соединения (SYN-пакет) передаются параметры, которые однозначно идентифицируют ОС:
Window Size (размер окна). Windows использует значения 64240 или 65535. macOS — 65535. Linux — 29200 или 5840 в зависимости от версии ядра.
MSS (Maximum Segment Size). Зависит от MTU сети и ОС. Типичные значения: 1460 для Ethernet, но порядок и формат опций отличаются.
TTL (Time To Live). Windows устанавливает начальный TTL = 128. macOS и Linux — TTL = 64. Это одна из самых надёжных сигнатур: изменить TTL пакета на стороне пользователя без специального ПО невозможно.
TCP Options и их порядок. Каждая ОС отправляет опции (MSS, Window Scale, SACK Permitted, Timestamps, NOP) в определённом порядке. Windows, Linux и macOS используют разные последовательности. Этот порядок зашит в код ядра и не меняется антидетект-браузером.
Совокупность этих параметров образует TCP-отпечаток, который идентифицирует реальную операционную систему с высокой точностью. Инструмент p0f, основанный на этом принципе, десятилетиями используется для пассивной идентификации ОС.
TLS-отпечаток: браузер не тот, за кого себя выдаёт
При установке HTTPS-соединения браузер отправляет TLS ClientHello — сообщение, содержащее криптографические параметры. Эти параметры формируют уникальный TLS-отпечаток:
Cipher Suites. Список поддерживаемых шифров и их порядок. Chrome, Safari и Firefox используют принципиально разные наборы. Safari включает шифры, которых нет в Chrome, и наоборот.
TLS Extensions. Набор и порядок расширений TLS. Chrome отправляет характерный набор расширений, включая специфичные для Google сервисы. Safari имеет свой уникальный профиль расширений.
Supported Groups и Signature Algorithms. Списки поддерживаемых эллиптических кривых и алгоритмов подписи различаются между браузерами и их версиями.
ALPN (Application-Layer Protocol Negotiation). Порядок протоколов (h2, http/1.1) и их представление отличаются.
На основе этих параметров вычисляется хеш JA3 (или его развитие JA4) — компактная сигнатура, однозначно идентифицирующая клиентское приложение. Chrome, Safari и Firefox имеют кардинально разные JA3-хеши.
Антидетект-браузер, построенный на Chromium, всегда отправляет TLS ClientHello, характерный для Chrome. Никакая настройка профиля не способна это изменить — для этого пришлось бы модифицировать криптографическую библиотеку BoringSSL, встроенную в Chromium, что сломало бы работу браузера.
HTTP/2 SETTINGS: ещё один слой идентификации
После установки TLS-соединения браузер отправляет HTTP/2 SETTINGS frame — набор параметров, определяющих поведение HTTP/2-соединения: размер таблицы заголовков, максимальное число параллельных потоков, размер окна, максимальный размер фрейма.
Каждый браузерный движок использует свой характерный набор значений и порядок параметров в SETTINGS frame. Chrome, Firefox и Safari легко различимы по этому признаку. Антидетект-браузер на базе Chromium неизбежно отправляет SETTINGS frame, идентичный Chrome, — независимо от того, какой браузер указан в профиле.
Конкретный пример: как разоблачить антидетект-профиль
Рассмотрим реальный сценарий. Фродер использует Dolphin Anty и создаёт профиль со следующими настройками:
- ОС: macOS Sonoma 14.3
- Браузер: Safari 17.2
- Разрешение: 2560×1600 (MacBook Pro Retina)
- Часовой пояс: America/New_York
Профиль идеально проходит все JavaScript-проверки. BrowserLeaks показывает Safari на macOS, canvas и WebGL-отпечатки соответствуют Apple Silicon, navigator.platform возвращает «MacIntel».
Однако анализ сетевого трафика на стороне сервера выявляет три критических несоответствия:
TCP-отпечаток: Window Size = 64240, TTL = 128, характерный порядок TCP Options. Это сигнатура Windows 10/11. Настоящий macOS отправил бы Window Size = 65535 и TTL = 64.
TLS ClientHello: набор cipher suites и расширений соответствует Chrome 120+, а не Safari 17. JA3-хеш совпадает с базой данных Chrome. Safari использует принципиально иной набор шифров и другой порядок расширений.
HTTP/2 SETTINGS: параметры frame идентичны Chromium. Safari использует другие значения HEADER_TABLE_SIZE и INITIAL_WINDOW_SIZE.
Итог: профиль заявляет «macOS + Safari», но сетевые отпечатки кричат «Windows + Chrome». Вердикт однозначен — перед нами антидетект-браузер. Этот вывод делается автоматически, без участия человека, на стороне сервера в момент установки соединения — ещё до того, как загрузится первый JavaScript-скрипт.
Как фродеры используют антидетект-браузеры для скликивания
Типичная схема скликивания с использованием антидетект-браузеров выглядит следующим образом:
Подготовка инфраструктуры. Фродер приобретает подписку на антидетект-браузер и пул резидентских прокси (от сервисов вроде Bright Data, Smartproxy, IPRoyal). Резидентские прокси обеспечивают IP-адреса реальных домашних провайдеров в нужном регионе.
Создание профилей. Для каждого «виртуального пользователя» создаётся отдельный профиль с уникальным отпечатком. Сотня профилей — сотня «устройств», каждое со своим IP, fingerprint и историей cookies.
Автоматизация. С помощью встроенных RPA-инструментов (AdsPower) или внешних средств автоматизации (Puppeteer, Playwright через CDP-протокол) настраиваются сценарии: открыть поисковик, ввести запрос, кликнуть по рекламному объявлению, провести на сайте 15-30 секунд, имитируя скроллинг и движения мыши.
Масштабирование. Облачные решения вроде Dolphin Cloud позволяют запускать десятки профилей параллельно на удалённых серверах. Один оператор может генерировать сотни «уникальных» кликов в час. При стоимости клика в высококонкурентных нишах от 300 до 1500 рублей ежедневный ущерб от одной фрод-операции может достигать сотен тысяч рублей.
Маскировка. Каждый клик выглядит как обращение реального пользователя: уникальный IP, уникальный browser fingerprint, «естественное» поведение на сайте. Стандартные антифрод-системы, основанные на анализе JavaScript-отпечатков и поведенческих паттернов, не распознают подмену.
Гонка вооружений: JS-fingerprinting против сетевого анализа
На протяжении последнего десятилетия антифрод-индустрия полагалась на JavaScript-отпечатки как основной метод идентификации. Сервисы вроде FingerprintJS, PerimeterX и рекламные платформы собирали десятки параметров браузера и строили на их основе идентификаторы пользователей.
Антидетект-браузеры стали прямым ответом на эту стратегию. Они методично нейтрализовали каждый JavaScript-параметр, используемый для идентификации. Canvas fingerprint — подменяется шумом. WebGL — эмулируется. AudioContext — рандомизируется. Fonts — фильтруются. Каждая новая проверка на стороне антифрода порождала новую контрмеру в антидетект-браузерах.
Эта гонка принципиально проиграна на стороне JavaScript. Браузер — среда, контролируемая пользователем. Любой JavaScript-код выполняется в песочнице, которую антидетект-браузер полностью контролирует. Он может перехватить любой вызов API, подменить любое возвращаемое значение, скрыть любой артефакт.
Сетевой анализ переносит проверку на сторону сервера, где фродер ничего не контролирует. TCP-пакеты формируются ядром операционной системы. TLS ClientHello генерируется криптографической библиотекой. HTTP/2 SETTINGS задаются сетевым стеком браузера. Чтобы подменить эти параметры, недостаточно модифицировать браузер — нужно модифицировать ОС, что на порядок сложнее и в большинстве случаев нереализуемо на практике.
Почему сетевой fingerprinting — будущее антифрода
Преимущества сетевого анализа для обнаружения антидетект-браузеров фундаментальны:
Проверка на стороне сервера. Фродер не имеет доступа к коду, который его анализирует. Он даже не знает, какие именно параметры проверяются и по каким критериям выносится вердикт.
Невозможность подмены без следов. Подмена TCP-параметров требует привилегий уровня ядра ОС. Подмена TLS ClientHello — модификации криптобиблиотеки. Каждая попытка подмены оставляет новые артефакты, которые сами по себе являются индикатором фрода.
Мгновенная детекция. Анализ происходит на этапе установки соединения — за миллисекунды. Не нужно ждать загрузки страницы, выполнения JavaScript, анализа поведения. Фродер идентифицируется ещё до того, как увидит содержимое сайта.
Пассивный сбор данных. Сетевые отпечатки собираются без какого-либо воздействия на клиента. Нет JavaScript-библиотек, которые можно обнаружить и нейтрализовать. Нет API-вызовов, которые можно перехватить. Сервер просто анализирует входящий трафик.
Кросс-корреляция. Когда сто «разных» профилей приходят с одним и тем же TCP/TLS-отпечатком Windows+Chrome, но представляются различными комбинациями ОС и браузеров — это безошибочный индикатор антидетект-браузера. Ни один набор реальных устройств не даст такой картины. Статистическая аномалия очевидна: в реальном трафике распределение TCP/TLS-отпечатков следует естественным закономерностям — преобладание Windows и Chrome, меньшая доля macOS и Safari, небольшой процент Linux. Когда же трафик генерируется антидетект-браузером, JavaScript-отпечатки показывают разнообразие, а сетевые — монотонность. Это расхождение является неопровержимым доказательством подмены.
Заключение
Антидетект-браузеры создали иллюзию неуязвимости для фродеров. На уровне JavaScript они действительно обеспечивают убедительную маскировку — каждый профиль выглядит как реальное устройство. Стандартные антифрод-системы, работающие исключительно с браузерными отпечатками, проигрывают эту гонку.
Однако антидетект-браузеры бессильны против анализа сетевого уровня. TCP-отпечаток выдаёт реальную операционную систему. TLS ClientHello разоблачает настоящий браузерный движок. HTTP/2 SETTINGS подтверждает вердикт. Три независимых слоя проверки, каждый из которых фродер не в состоянии контролировать.
Для рекламодателей и компаний, теряющих бюджеты из-за скликивания, это означает одно: эффективная защита требует выхода за пределы JavaScript-анализа. Системы, полагающиеся исключительно на браузерные отпечатки, всегда будут на шаг позади разработчиков антидетект-браузеров. Только сочетание сетевого fingerprinting на уровне TCP/TLS с поведенческим анализом и статистической корреляцией обеспечивает надёжное обнаружение антидетект-браузеров и других инструментов фрода. Технологии сетевого анализа, реализованные на базе eBPF, позволяют проводить эту проверку без задержек, без нагрузки на сервер и без какого-либо воздействия на легитимных пользователей.