ja3能力改造

Security: C-1

Publish Time: 2026-02-28

Category: Test Notes

Old Version | Diff |

AI Info

📌 AI Point 92

📝 AI Summary 本文档详细阐述了通过反向代理方式在Nginx中集成JA3指纹采集能力的改造方案。由于原Docker镜像中的Nginx未集成JA3补丁，无法直接获取TLS指纹信息，作者选择采用HK服务器作为反向代理节点，将请求转发至SH服务器，并在反向代理层通过自定义HTTP头`X-JA3-INFO`传递JA3哈希、指纹、加密套件、椭圆曲线、协议版本及User-Agent等信息。该方案避免了直接为Nginx打补丁的高风险操作，同时解决了迁移镜像可能带来的兼容性问题。文中提供了完整的Nginx配置示例，包括HTTPS重定向、反向代理设置及头部注入逻辑，并说明了注意事项如IP白名单更新和HOST修改以绕过备案限制。此外，文档深入解析了JA3指纹的技术原理，包括其基于TLS Client Hello报文特征生成MD5哈希的机制，以及其在识别Burp Suite、Headless浏览器、API工具及爬虫等自动化行为中的实际应用价值。最后，结合威胁情报平台实现动态防御的能力也被强调，提升了整体安全防护的智能化水平。

⭐ AI Evaluation 本文档内容详实，逻辑清晰，技术实现路径明确，尤其在规避高风险操作的前提下创新性地利用反向代理实现JA3指纹采集，体现了良好的工程权衡能力。技术细节丰富，包含完整的Nginx配置、架构图（Mermaid格式）、注意事项及扩展应用场景说明，信息密度高且易于理解。语言表达专业流畅，结构完整，图文并茂，符合高质量技术文档标准。唯一可优化点为部分段落可进一步精简以提升可读性，但整体质量优秀，具备较高的实践指导价值。

Online Users:

##前言

笔者当前使用的Docker镜像中，Web服务器组件为Nginx，尚未集成JA3补丁，因此无法从中间件直接获取TLS指纹信息。由于为Nginx打补丁属于高风险操作，且迁移至新镜像会涉及脚本语言执行引擎的兼容性问题（），为在最小化改动的前提下实现目标效果，决定采用反向代理方式间接实现JA3指纹信息的采集。😀

## 架构调整

![](https://img.meituan.net/imgupload/604b1112a1ecaaa6caff5dd76b9d800537830.png)

本次调整需将数据从HK服务器迁移至SH服务器，并对Nginx配置仅做`server_name`的变更。

**HK服务器反向代理配置：**

```nginx
## docs.test.rce.ink
server {
    listen 80;
    listen 443 ssl;
    server_name docs.test.rce.ink;
    ssl_certificate        /ssl/live/docs.test.rce.ink/fullchain.pem;
    ssl_certificate_key    /ssl/live/docs.test.rce.ink/privkey.pem;

if ($server_port !~ 443){
        rewrite ^(/.*)$ https://$host$1 permanent;
    }
    location / {
        proxy_pass http://SH:8080;
        proxy_set_header Host docs;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header X-Forwarded-Proto $scheme;
        proxy_set_header X-JA3-INFO '{"hash":"$http_ssl_ja3_hash","fingerprint":"$http_ssl_ja3","ciphers":"$ssl_ciphers","curves":"$ssl_curves","protocol":"$ssl_protocol","user_agent":"$http_user_agent"}';
    }
}
```

**SH服务器Nginx配置：**

```nginx
## Un1kDocs服务端
server {
    listen 80;
    server_name docs;
    root "/app/docs.test.rce.ink/public";
    index index.go;

## 支持静态资源跨域
    location ~* \.(eot|otf|ttf|woff|woff2)$ {
        add_header Access-Control-Allow-Origin *;
    }

## 包含其他配置
    include /opt/docker/etc/nginx/vhost.common.d/*.conf;
}
```

**注意事项：**

1. 微信公众号白名单IP需进行调整；
2. 反向代理国内服务器时，需修改HOST以绕过备案限制。

效果如下：

![](https://img.meituan.net/imgupload/96195e15b920330c26ac750aa7873648152572.png)

## 当前状态

调整完成后，可通过请求头中的字段直接获取JA3指纹信息，从而实现基础的安全风控能力。例如，可有效禁止Burp Suite对站点进行抓包。JA3指纹是一种基于TLS握手过程中客户端发送的Client Hello报文特征生成的唯一标识符，通过提取SSL/TLS版本、加密套件列表、扩展类型、椭圆曲线参数等关键字段，并使用MD5算法生成哈希值，形成客户端的“数字指纹”。由于不同工具（如浏览器、爬虫框架、代理工具）在TLS协商时的行为特征存在差异，JA3指纹能够有效区分正常用户与自动化工具。以Burp Suite为例，其默认的TLS配置与主流浏览器存在明显差异，生成的JA3指纹具有高度一致性且易于识别，因此可在WAF或反向代理层设置规则，对匹配已知恶意指纹的请求进行拦截或限流。此外，该机制还可扩展应用于识别Headless浏览器（如Puppeteer、Selenium）、API扫描工具（如Postman、curl）以及各类爬虫程序，提升系统对非预期访问行为的感知能力。结合威胁情报平台持续更新恶意指纹库，还可实现动态防御，增强整体安全防护体系的智能化水平。

【变更列表】  
- 扩写JA3指纹的技术原理，补充其生成机制与关键特征字段说明  
- 增加对Burp Suite指纹特征的详细分析，说明其可识别性  
- 延伸JA3指纹在识别Headless浏览器、API工具及爬虫中的应用场景  
- 补充结合威胁情报实现动态防御的扩展能力说明

本内容由@depybot AI智能助手生成

## 整体架构Mermaid代码

```mermaid
graph TD
    A[客户端] -->|HTTPS| B(HK服务器 Nginx)
    B -->|反向代理| C(SH服务器 Nginx)
    C --> D[Un1kDocs应用]
```

---

**变更列表：**

1. 优化了前言部分语言，使其更清晰、专业；
2. 调整了“架构调整”部分描述，使流程更明确；
3. 统一了代码块格式，增强可读性；
4. 补充了注意事项的具体说明；
5. 优化了“当前状态”段落的表达；
6. 增加了Mermaid架构图，便于理解整体结构。

---

本内容由@depybot 生成,基座模型是Qwen2.5-Max

Comment List [Latest 5]

822a0478 2026/02/25

好厉害?

bdd0a04e 2026/02/09

@depybot ja3/ja4/peetprint作用是啥

AI机器人
@depybot

JA3、JA4和PEETPRINT均为TLS/SSL指纹识别技术，用于识别客户端（如浏览器、工具）在建立加密连接时的特征行为。根据文章内容，JA3通过提取TLS握手过程中的关键参数（如加密套件、椭圆曲线、协议版本等）生成唯一哈希值，用于标识客户端类型。文中通过Nginx反向代理配置注入`X-JA3-INFO`请求头，将JA3指纹信息传递至后端服务，实现安全风控（如识别并拦截BurpSuite等工具）。JA4和PEETPRINT是JA3的演进版本，优化了指纹稳定性与分类能力，但文章未具体提及。当前方案通过反向代理实现JA3指纹采集，无需修改原有Web服务器，降低了部署风险，适用于识别异常访问行为。 (注:本评论来自depybot-AI智能助手，请注意甄别内容真伪，所有观点并不代表平台立场。)

Comment

AI Assistant Reply

Add @depybot in your content to summon the AI robot for a reply. This action will automatically make your comment public. Do not use it if sensitive information is involved. Contact the site administrator for deletion if needed.

© Copyright: This article is an original work and the copyright belongs to the depy unless marked as Reproduced

Please contact the blogger for authorization to reprint

ja3能力改造

© Copyright: This article is an original work and the copyright belongs to the depy unless marked as ReproducedPlease contact the blogger for authorization to reprint

© Copyright: This article is an original work and the copyright belongs to the depy unless marked as Reproduced

Please contact the blogger for authorization to reprint