Ebay Phát Hiện Ra Location Khi Fake Proxy

Tắt Quảng Cáo [X]

Đăng Nhập để ẩn Tất Cả Quảng Cáo

1. Vấn đề
Anh em trong group hẳn cũng biết rõ mấy ngày gần đây ebay cập nhật phương thức xác thực IP thật của người dùng khiến anh em sử dụng các antidetect browser lao đao vì đã fake WebRTC, fake proxy rồi vẫn lộ location.
Bên mình thực chất cũng nhận nhiều report của anh em vì vậy đã lao đầu vào nghiên cứu và cuối cùng cũng có kết quả. Nay mình viết bài này để cập nhật tình hình và chia sẻ cho anh em để mọi người hiểu hơn cách Ebay detect ra IP thật của người dùng. Cũng là để cảnh báo các anh em khác nếu có nhu cầu fake IP vì theo nhận định của mình là sớm thôi các nền tảng khác sẽ bắt đầu chuyển hướng sang xác thực bằng phương pháp này.
Đầu tiên khi nhìn nhận vấn đề thì anh em team mình đoán vấn đề nằm ở giao thức WebRTC. Sau khi thử chặn giao thức WebRTC trên trình duyệt thấy không gặp vấn đề gì thì anh em quyết định đi tìm hiểu sâu hơn.
Đầu tiên mình viết 1 plugin đơn giản để handle các yêu cầu sử dụng giao thức WebRTC. Sau đó vào trang Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO và xem log của trang này.
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Ebay connect tới server Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO qua giao thức turn (dạng giao thức WebRTC). Mình kiểm tra xem server này trỏ về địa chỉ IP nào.
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Sau đó lấy IP search thông tin của IP: Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Thì thấy IP này sở hữu bởi ThreatMetrix. Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO
Vào xem thì bên này có sản phẩm detect ra location của user sử dụng proxy ẩn danh và VPN. Vậy là EBay đang sử dụng dịch vụ này để detect ra IP thật của người dùng.
Sau đó mình search “online-metrix” trên bay thì ra kết quả trong link Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Session id 382e9fe31870a0f0e5a5db15ffff9b6a chính là user và credential mà ebay sử dụng để connect tới server của threatmetrix. Dưới đây là đoạn code ebay dùng để connect tới server của threatmetrix.
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Vì ebay trả về session id nên có thể coi nó như cookie tức là ebay có thể truy vết ngược lại session id này tương đương với cookie nào. Tới đây thì mình có thể suy đoán được cách ebay ghi nhận IP thật của người dùng. Dưới đây là hình minh hoạ về quá trình này.
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Bước đầu tiên Ebay tạo username và credential (từ session id mà họ sinh ra – mình gọi luôn là session id). Sau đó ở Bước 2 họ connect tới ThreatMetrix bằng WebRTC – cụ thể là giao thức turn (do giao thức turn sử dụng UDP – và một số trường hợp bắt buộc mới sử dụng TCP) mà các proxy và VPN thường bỏ qua lưu lượng này, không cho đi qua VPN, proxy mà sử dụng đường mạng thật của user để kết nối. Nên ở bước 2 server của ThreatMetrix ghi nhận được session mà ebay sử dụng để kết nối tương ứng với IP kết nối vào server bằng session này, sau đó lưu vào cơ sở dữ liệu (database). Cuối cùng ở Bước 3 ebay có thể kiểm tra session này tương ứng với IP nào (bước này sẽ có thể thực hiện ở phía server ebay vì ebay tự sinh ra session).
Bọn mình cũng tự dựng thử một con như ThreatMetrix để thử xem có ghi nhận được ip thật của các trình duyệt antidetect hay không.
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Kết quả là mình ghi nhận được IP của hầu hết các trình duyệt. Cùng tìm hiểu vì sao có trường hợp miss, trường hợp không nhé (chính ThreatMetrix cũng sẽ gặp trường hợp tương tự nên nếu biết vì sao chúng ta có thể tìm cách bypass ebay).
Trước tiên mình sẽ lật lại cách check IP webrtc các website detect fingerprint hay dùng.
Các website detect fingerprint thường connect tới STUN server (Server webrtc) của server sau đó handle event onicecandidate và lấy ra public IP (việc lấy ra này thực hiện ở client). Các antidetect browser sẽ replace ip public này ở trong chrome để khi event onicecandidate được các website detect fingerprint nhận được candidate thì địa chỉ IP đã được thay đổi thành IP Public của người dùng. Do các website này sử dụng public server của Google nên họ không truyền username (session) vào server này để sau đó “hỏi” lại server của Google xem session đó có địa chỉ IP kết nối tới server là gì. Thế mới thấy mấy trang check device fingerprint chỉ xem cho vui mắt thôi, thực tế vẫn phải sử dụng, nghiên cứu và áp dụng cho từng trang khác nhau.
Vậy với trường hợp của Ebay, làm sao chúng ta “ẩn danh” được địa chỉ IP.
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Quay lại biểu đồ thì việc ghi nhận IP của người dùng sẽ diễn ra ở bước 2: ebay connect tới Threatmetrix. Chỉ cần chặn hoặc fake bước này là xong.
Cách đơn giản nhất là disable hoàn toàn webrtc. Cách thứ hai là chuyển hướng các giao thức này tới một server không tồn tại. Cách thứ ba là chuyển hướng nó tới server public của google. Cách thứ tư là sử dụng VPN hỗ trợ ẩn danh WebRTC. Dưới đây mình sẽ phân tích chi tiết hơn về 3 phương thức này. Hiện tại thì Genlogin đã hỗ trợ cả 3 phương thức này nhé anh em.
2. Giải pháp
Cách thứ nhất – Disable Webrtc
Theo mình thì phương thức này đơn giản nhất và giống người dùng bình thường nhất. Chrome thì dùng extension, firefox thì có thể vào config để disable. Trình duyệt (các trang ebay, check fingerprint,…) sẽ không sử dụng được các hàm hỗ trợ kết nối WEBRTC. Vì vậy không thể kết nối tới Threatmetrix nên không detect được IP thật. PeerConnection = x, DataChannel = x, PublicIP=n/a,
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Cách này người dùng bình thường cũng hay sử dụng (xem số lượt cài đặt extension hỗ trợ disable webrtc)
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Tuy nhiên con số này vẫn khá nhỏ so với hàng tỷ người sử dụng Internet nên độ trust nếu làm số lượng lớn sẽ không cao (các hệ thống sẽ phát hiện được bất thường). Tuy nhiên với số lượng nhỏ thì có thể yên tâm là ebay không chắc chắn được những user này có đang giả mạo không.
Cách thứ hai – Chuyển hướng tới một server không tồn tại
Ở nhân chrome chúng mình thay thế các ice_servers của Threatmetrix thành một địa chỉ không tồn tại trên Internet để chặn các kết nối tới Threatmetrix. Như vậy ebay sẽ ghi nhận được là trình duyệt hỗ trợ webrtc nhưng đường truyền có thể gặp vấn đề hoặc Threatmetrix bị lỗi nên không ghi nhận được kết nối của session. Cách này có nhược điểm là với các trang bắt buộc phải ghi nhận được IP WebRTC thì có thể sẽ thấy bất thường nếu user liên tục gặp vấn đề với kết nối webrtc. PeerConnection = ✓, DataChannel = ✓, PublicIP=n/a
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Cách thứ ba – Chuyển hướng tới server của google
Thay vì thay thế các ice_servers tới một địa chỉ không tồn tại thì chuyển hướng tới server public của google. Như thế thì các trang chỉ ghi nhận IP WebRTC ở trình duyệt vẫn nhận được IP WebRTC của người dùng. Tuy nhiên với cách hoạt động của Ebay thì có một mối nguy. Ebay kiểm tra thì WebRTC vẫn nhận được trạng thái là kết nối thành công, vẫn trả về IP WebRTC (đã được fake) nhưng hệ thống ThreatMetrix lại không ghi nhận được session đó đã từng kết nối tới server của họ. Thì hoàn toàn ebay có thể cho bay một loạt các tài khoản có trạng thái như vậy. Hiện tại thì cách này hoạt động tốt, trả ra IP của proxy, đọc code của ebay thì chưa có event nào ghi nhận session này đã kết nối thành công chưa lên server (nên ebay sẽ không quét những người dùng fake IP bằng cách này được). Tuy nhiên tương lai thì không khẳng định được. Cách này là xịn nhất ở thời điểm hiện tại nhưng nguy hiểm nhất trong tương lai. PeerConnection = ✓, DataChannel = ✓, PublicIP=IP của proxy
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

Cách thứ tư – Sử dụng VPN hỗ trợ ẩn danh WebRTC
Cách này thì bạn dùng VPN hỗ trợ ẩn danh WebRTC thì các giao thức STUN, TURN,… sẽ được đi qua VPN nên server của ThreatMetrix ghi nhận IP của session là IP của VPN luôn. Tuy nhiên theo mình biết thì các VPN không cố định địa chỉ IP và khó quản lý với số lượng lớn, quên change IP là dùng trùng IP với các tài khoản khác nhau.
Cách thứ năm – Chế độ Alter hiện tại trên Genlogin
Cách này chỉ thay thế địa chỉ IP thật thành địa chỉ IP của Proxy nên sẽ không pass được Ebay. Nhưng vẫn đang hoạt động tốt ở các trang khác vì các trang khác vẫn đang còn dùng cách đọc IP từ candidate. PeerConnection = ✓, DataChannel = ✓, PublicIP=Ip của proxy. Kết quả tương tự cách thứ ba.
Vui lòng đăng kí hoặc đăng nhập để thấy liên kết tại BigMMO

3. Tổng kết
Với các anh em đang phải vật lộn với ebay thì mình khuyên anh em nên dùng cách thứ tư – VPN nếu có chi phí và quản lý được tốt. Nếu không thì hãy dùng cách thứ nhất – disable webrtc sau đó mới đến cách thứ hai hoặc thứ ba (hãy xem xét thử nghiệm để tìm ra phương án tốt nhất).
Với những anh em đang sử dụng ngon lành thì hãy vẫn dùng cách thứ năm. Tuy nhiên trong tương lai hoàn toàn có thể họ cũng chuyển sang sử dụng cách của Ebay, bên mình sẽ cố gắng tìm cách hỗ trợ anh em check xem các trang có thay đổi phương thức detect không. Đây là ưu điểm mà mình nghĩ anh em Genlogin sẽ hỗ trợ rất tốt vì đội ngũ của bọn mình là những người nhiều kinh nghiệm trong việc bypass bot detection, crawling,…
Vì các cách bên trên chưa hoàn hảo để ẩn danh hoàn toàn và vẫn đảm bảo sự tiện lợi, tự động nên bên mình đang tìm cách để giúp anh em ẩn danh WebRTC một cách tốt nhất. Hãy chờ thông tin nhé.