ProxyZeus

Чорний список або прихований рейтинг: як платформи насправді розпізнають проксі

Багато арбітражників і агентств звикли думати про «блокування проксі» виключно як про потрапляння в DNSBL — публічний чорний список. Але реальність набагато складніша. Алгоритми TikTok, Meta та інших платформ давно не покладаються на один сигнал. Вони будують складні моделі ризику на основі мережевих характеристик, часових відхилень, cookie-контекстів і навіть побічних поведінкових патернів.

У цьому матеріалі — технічне розслідування: які сигнали дійсно «палять» проксі, як AI-алгоритми інтерпретують трафік і чому навіть «чистий» IP може стати тригером.


1. ASN: «цифровий паспорт» мережі

ASN (Autonomous System Number) — це ідентифікатор провайдера, якому належить IP-діапазон. Він вказує, чий трафік йде з цієї підмережі: дата-центр, мобільний оператор, хостинг-провайдер тощо.

Як платформа використовує ASN:

  • Зіставляє з базами RIPE, APNIC та локальних регуляторів.
  • Прив’язує до історичної поведінки: чи були зі цього ASN скарги, спам, боти.
  • Визначає рівень довіри: мобільні ASN (Vodafone, Kyivstar) — високий; дата-центрові (OVH, Hetzner) — низький.

Приклад: Meta Trust Score автоматично знижує baseline quality при IP з AS16276 (OVH), навіть якщо сам адрес не в спам-лісті.


2. TTL і TTL Variance: проксі «дихають» неправильно

TTL (Time to Live) — параметр мережевого пакету, що відображає кількість хопів від джерела до одержувача.

Для звичайного користувача TTL = 52–64. Для дата-центру — 118–128.

Чому це важливо:

  • Платформи логують TTL при кожному з’єднанні.
  • «Рівне» TTL на рівні 128 без відхилень — сигнал дата-центру.
  • TTL Variance (розкид TTL) — у «живого» юзера стрибає в межах 2–3 одиниць, а у проксі може бути стабільно однаковим.

Факт: Алгоритм TikTok Trust Safety при TTL >120 і 0 variance підвищує suspicion score до рівня auto-review.


3. Швидкість з’єднання і jitter

Швидкість і відгук — ще два неочевидні маркери, які можна зчитати з першого запиту.

  • Для мобільної мережі характерна нестабільність (jitter, пінг 40–100 мс).
  • Для дата-центру — стабільний низький пінг (10–15 мс), висока пропускна здатність.

Як це використовується:

  • Якщо алгоритм бачить «ідеальні» з’єднання з IP, заявленого як мобільний — вмикається прапорець для капчі або ручної перевірки.
  • Навіть якщо IP з ASN мобільного оператора, але фізично передається через тунель із пінгом 5 мс — ризик високий.

4. Cookie-профіль і fingerprint mismatch

Навіть ідеальний проксі буде скомпрометований, якщо:

  • Кукі з профілю збігаються з раніше поміченими зв’язками (наприклад, fbp, datr, fr у Facebook).
  • LocalStorage і SessionStorage зберігають сліди від старих сесій.
  • Fingerprint не збігається з IP. Приклад: український IP, а Canvas показує macOS, хоча в регіоні доля Mac <5%.

Рекомендація: перед логіном використовувати cookie-cleaner + перевірку відбитків (CreepJS, PixelScan) і ручне налаштування Device-ID.


5. DNSBL — не головна загроза

Так, IP може потрапити в Spamhaus, FireHOL, SORBS, але це не головна метрика:

  • DNSBL використовується як грубий фільтр.
  • Більш важливий власний прихований рейтинг платформи — не публічний, але активно оновлюваний score на основі тисячі параметрів.

Платформи не публікують ці списки, але:

  • TikTok використовує поведінкову модель довіри до IP: до 120 ознак.
  • Meta будує IP Risk Graph: IP пов’язується з попередніми акаунтами, пристроями, історією банів і типами креативів.
  • Google запускає ML-класифікатори для аномального патерну відвідування і Click Fraud Protection.

Що робити, щоб не потрапити в auto-flag

✅ Використовувати IP від мобільних операторів з хорошою репутацією (ASN з реєстру RIPE).

✅ Налаштовувати природній TTL і не забувати про його коливання (імітувати нормальний variance).

✅ Перевіряти fingerprint: Canvas, WebGL, AudioContext, Timezone, Language.

✅ Синхронізувати швидкість, user-agent і гео з IP.

✅ Використовувати антидетект-браузер, який не просто «змінює UA», а формує унікальний стек параметрів.

✅ Рідко змінювати IP без причини: ротація має бути логічною (по сесії або дії).


Висновок

Чорний список — це лише вершина айсберга. Сучасні алгоритми не шукають порушника за одним критерієм, а будують поведінкову модель на основі десятків технічних параметрів. Помилка в одному з них — і навіть найчистіший IP потрапляє в зону ризику.

Розуміння цих механізмів — ключ до того, щоб арбітраж, парсинг або ведення акаунтів не ставали вічною боротьбою з банами.

Хочеш працювати стабільно — вивчай свій цифровий слід так само уважно, як і креатив.

Прокрутка до верху