JA4+是一套易于使用且易于共享的网络指纹方法。这些方法既可以阅读,又可以促进更有效的威胁和分析。这些指纹的用例包括扫描威胁参与者,恶意软件检测,会话劫持预防,合规性自动化,位置跟踪,DDOS检测,威胁参与者的分组,反向外壳检测等等。
请阅读我们的博客以获取有关JA4+工作原理的详细信息,以及它的工作原理以及可以检测到/预防的内容的示例
JA4+网络指纹(JA4/S/H/L/X/SSH)
JA4T: TCP指纹(JA4T/TS/TSCAN)
要了解如何读取JA4+指纹,请参阅技术细节
此存储库包括JA4+ Python,Rust,Zeek和C作为Wireshark插件。
JA4/JA4+支持添加到:
灰色
打猎
漂移网
黑航
Arkime
Golang(JA4X)
Suricata
Wireshark
Zeek
nzyme
NetResec的Caploader
NetworkMiner'netresec的NetworkMiner
nginx
F5 Big-IP
nfdump
ntop的ntopng
NTOP的NDPI
Cymru队
Netquest
林士
exploit.org的netryx
cloudflare.com/bots/concepts/ja3-ja4-fingerprint/'cloudflare
迅速
还有更多宣布.
映射文件未经许可,可以免费使用。随意使用您找到的任何JA4+数据进行拉动请求。
Zeek
Arkime
从:版本下载最新的JA4二进制文件。
./ja4 [options] [PCAP]
ln -s/applications/wireshark.app/contents/macos/tshark/usr/local/bin/tshark
./ja4 [options] [PCAP]
tshark.exe位于安装Wireshark的位置,例如: C: \ Program Files \ Wireshark \ Thsark.exe
2)将TSHARK的位置添加到Windows中的“路径”环境变量。
(系统属性环境变量.编辑路径)
3)打开CMD,导航JA4文件夹
JA4 [选项] [PCAP]
同时,请参阅JA4Plus-Mapping.csv
随意使用您找到的任何JA4+数据进行拉动请求。
所有JA4+指纹均具有A_B_C格式,划定构成指纹的不同部分。这允许仅使用AB或AC或C进行狩猎和检测。如果一个人想仅对进入应用程序的cookie进行分析,他们只会查看JA4H_C。这种新的保护格式的格式有助于更深入,更丰富的分析,同时保持简单,易于使用并允许扩展。
例如; Greynoise是一位互联网听众,可以识别互联网扫描仪,并将JA4+实施到其产品中。他们有一个演员,他用不断变化的单个TLS密码扫描互联网。这会产生大量完全不同的JA3指纹,但是使用JA4,只有JA4指纹的B部分变化,A部分A和C部分保持不变。因此,Greynoise可以通过查看JA4_AC指纹(加入A+C,丢弃B)来跟踪演员。
当前方法和实施详细信息:
|全名|简单名称|描述| | --- | --- | --- | | JA4 | JA4 | TLS客户指纹识别
| JA4Server | JA4S | TLS服务器响应/会话指纹| JA4HTTP | JA4H | HTTP客户端指纹| JA4LATENCY | JA4L |潜伏期测量/轻距离| JA4x509 | JA4X | X509 TLS证书指纹| JA4SSH | JA4SSH | SSH交通指纹| JA4TCP | JA4T | TCP客户指纹印| JA4TCPSERVER | JA4TS | TCP服务器响应指纹| JA4TCPSCAN | JA4TSCAN |活跃的TCP指纹扫描仪
全名或简称可以互换使用。其他JA4+方法正在进行.
要了解如何读取JA4+指纹,请参阅技术细节
JA4S, JA4L, JA4H, JA4X, JA4SSH, JA4T, JA4TScan and all future additions, (collectively referred to as JA4+)根据FOXIO许可证1.1获得许可。大多数用例允许此许可证,包括用于学术和内部业务目的,但不允许货币化。例如,如果公司希望在内部使用JA4+来帮助保护自己的公司,则可以使用。例如,如果供应商希望作为产品产品的一部分出售JA4+指纹识别,则他们需要向我们索取OEM许可证。
所有JA4+方法均为申请申请。
JA4+是Foxio的商标
JA4+ CAN并正在将其实施到开源工具中,有关详细信息,请参见许可证常见问题。
这种许可使我们能够以开放且立即使用的方式为世界提供JA4+,但也为我们提供了一种资助持续支持,对新方法的研究以及即将到来的JA4数据库的开发的方式。我们希望每个人都有使用JA4+的能力,并乐于与供应商和开源项目合作,以帮助实现这一目标。
JA4Plus-Mapping.csv不包含在上述软件许可中,因此是无许可证的文件。
A:确实如此,但是在我们的研究中,我们发现应用程序和库选择独特的密码列表而不是唯一的订购。这也降低了“密码发育迟缓”的有效性,即随机将密码订购以防止JA3检测的策略。
Q:您为什么要对扩展名进行排序?
A:在2023年早些时候,Google更新了铬浏览器,以随机化其扩展订单。就像密码发育迟缓一样,这是防止JA3检测并“使TLS生态系统更加强大的变化”的策略。 Google担心服务器实施者会认为Chrome指纹永远不会改变,最终会围绕它构建逻辑,每当Google更新Chrome时,这都会引起问题。
因此,我想使此清晰: JA4指纹随着应用程序TLS库的更新,大约每年一次。不要假设在更新应用程序的环境中,指纹将保持恒定。无论如何,对扩展的排序可以解决此问题,并添加签名算法可保持独特。
Q: TLS 1.3不会使指纹tls客户端更加困难吗?
A:不,它使它变得更容易!自TLS 1.3以来,客户的扩展程序集更大,即使TLS1.3仅支持一些密码,浏览器和应用程序仍然支持更多密码。
乔什马云惹不起马云阿特金斯
杰夫马云惹不起马云阿特金森
约书亚马云惹不起马云亚历山大(Joshua Alexander)
W.
乔马云惹不起马云马丁
本马云惹不起马云希金斯
安德鲁马云惹不起马云莫里斯(Andrew Morris)
克里斯马云惹不起马云乌兰德(Chris Ueland)
本马云惹不起马云斯科菲尔德
Matthias Vallentin
Valeriy Vorotyntsev
蒂莫西马云惹不起马云诺埃尔(Timothy Noel)
加里马云惹不起马云利普斯基(Gary Lipsky)
以及在Greynoise,Hunt,Google,Extrahop,F5,Driftnet等工作的工程师。
通过[电子邮件保护]与John Althouse联系以获取许可和问题。
版权(c)2024,福克斯
请阅读我们的博客以获取有关JA4+工作原理的详细信息,以及它的工作原理以及可以检测到/预防的内容的示例
JA4+网络指纹(JA4/S/H/L/X/SSH)
JA4T: TCP指纹(JA4T/TS/TSCAN)
要了解如何读取JA4+指纹,请参阅技术细节
此存储库包括JA4+ Python,Rust,Zeek和C作为Wireshark插件。
JA4/JA4+支持添加到:
灰色
打猎
漂移网
黑航
Arkime
Golang(JA4X)
Suricata
Wireshark
Zeek
nzyme
NetResec的Caploader
NetworkMiner'netresec的NetworkMiner
nginx
F5 Big-IP
nfdump
ntop的ntopng
NTOP的NDPI
Cymru队
Netquest
林士
exploit.org的netryx
cloudflare.com/bots/concepts/ja3-ja4-fingerprint/'cloudflare
迅速
还有更多宣布.
Examples
Application JA4+ Fingerprints Chrome JA4=t13d1516h2_8daaf6152771_02713d6af862 (TCP) JA4=q13d0312h3_55b375c5d22e_06cda9e17597 (QUIC) JA4=T13D1517H2_8DAAF6152771_B0DA82DD1658(预共享键)JA4=T13D1517H2_8DAAF6152771_B1FFF8AB2D16F(无密钥) JA4H=GE11CN020000_9ED1F7B03_CD8DAFE26982 ICEDID恶意软件JA4=T13D201100_2B729B4BF6F3_9E7B9E7B989EB989EBEC8 JA4 JA4 JA4 JA4 JA4 JA4=T13D190900_9DC949149365_97F8AA674FD9 JA4S=T130200_1301_A56C5B9993250 JA4X=00000000000000000000000000000_4F24F24DA86FAD6FAD6FAD6_BF0F05555589FC03 JA4X=0000000000_7C32FA13E_BF0F0589FC03 COBALT罢工JA4H=GE11CN060000_4E59EDC1297A_4DA_4DA5A5A5A5EFAFAFAFAFAF0CBD JA4X柔软的VPN JA4=T13D880900_FCB5B95CB75A_B0D3B4AC2A14(客户端)JA4S=T130200_1302_A56C5B993250 JA4X JA4X=2BAB15409345_AF684594EFB4_000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000 0000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000253DB9D024B Evilginx JA4=T13D191000_9DC949149365_E7C285222651反向SSH SHEL SHELS JA4SSH=C76S76_C71S59_C0S70 WINDOWS 10 JA4T=64240_24240_2-1-1-3-1-1-1-1-1-1-14_14_14_14_14_14_14_14_14_14_88 EPSON PRINTIN JA4TSCAN=28960_2-4-8-1-3_1460_3_1-4-8-16有关更多信息,请参见JA4PLUS-MAPPED.CSV映射文件未经许可,可以免费使用。随意使用您找到的任何JA4+数据进行拉动请求。
Plugins
WiresharkZeek
Arkime
Binaries
建议使用TSHARK版本4.0.6或更高版本,以进行完整功能。参见: https://pkgs.org/search/?q=tshark从:版本下载最新的JA4二进制文件。
JA4+ on Ubuntu
sudo apt安装tshark./ja4 [options] [PCAP]
JA4+ on Mac
1)安装Wireshark 3https://www.wireshark.org/download.html将安装TSHARK 2)将TSHARK添加到$ PATHln -s/applications/wireshark.app/contents/macos/tshark/usr/local/bin/tshark
./ja4 [options] [PCAP]
JA4+ on Windows
1)安装Windows的WirShark,来自https://wwwww.wireshark.org/download.html,将安装tshark.exetshark.exe位于安装Wireshark的位置,例如: C: \ Program Files \ Wireshark \ Thsark.exe
2)将TSHARK的位置添加到Windows中的“路径”环境变量。
(系统属性环境变量.编辑路径)
3)打开CMD,导航JA4文件夹
JA4 [选项] [PCAP]
Database
官方的JA4+指纹数据库,关联的应用程序和建议的检测逻辑正在构建过程中。同时,请参阅JA4Plus-Mapping.csv
随意使用您找到的任何JA4+数据进行拉动请求。
JA4+ Details
JA4+是一组简单但功能强大的网络指纹,适用于人类和机器可读的多种协议,可促进改进的威胁狩猎和安全分析。如果您不熟悉网络指纹,我鼓励您在此处阅读我的博客,在此处发布JA3,并在此处快速介绍TLS指纹状态,概述了疏远历史以及他们的问题。 JA4+带来了专门的支持,随着行业的变化,将这些方法保持最新。所有JA4+指纹均具有A_B_C格式,划定构成指纹的不同部分。这允许仅使用AB或AC或C进行狩猎和检测。如果一个人想仅对进入应用程序的cookie进行分析,他们只会查看JA4H_C。这种新的保护格式的格式有助于更深入,更丰富的分析,同时保持简单,易于使用并允许扩展。
例如; Greynoise是一位互联网听众,可以识别互联网扫描仪,并将JA4+实施到其产品中。他们有一个演员,他用不断变化的单个TLS密码扫描互联网。这会产生大量完全不同的JA3指纹,但是使用JA4,只有JA4指纹的B部分变化,A部分A和C部分保持不变。因此,Greynoise可以通过查看JA4_AC指纹(加入A+C,丢弃B)来跟踪演员。
当前方法和实施详细信息:
|全名|简单名称|描述| | --- | --- | --- | | JA4 | JA4 | TLS客户指纹识别
| JA4Server | JA4S | TLS服务器响应/会话指纹| JA4HTTP | JA4H | HTTP客户端指纹| JA4LATENCY | JA4L |潜伏期测量/轻距离| JA4x509 | JA4X | X509 TLS证书指纹| JA4SSH | JA4SSH | SSH交通指纹| JA4TCP | JA4T | TCP客户指纹印| JA4TCPSERVER | JA4TS | TCP服务器响应指纹| JA4TCPSCAN | JA4TSCAN |活跃的TCP指纹扫描仪
全名或简称可以互换使用。其他JA4+方法正在进行.
要了解如何读取JA4+指纹,请参阅技术细节
Licensing
JA4: TLS Client Fingerprinting是开源的,BSD 3-sause,与JA3相同。 Foxio没有专利索赔,也不打算为JA4 TLS客户指纹打印专利覆盖范围。这允许当前使用JA3的任何公司或工具立即升级为JA4。JA4S, JA4L, JA4H, JA4X, JA4SSH, JA4T, JA4TScan and all future additions, (collectively referred to as JA4+)根据FOXIO许可证1.1获得许可。大多数用例允许此许可证,包括用于学术和内部业务目的,但不允许货币化。例如,如果公司希望在内部使用JA4+来帮助保护自己的公司,则可以使用。例如,如果供应商希望作为产品产品的一部分出售JA4+指纹识别,则他们需要向我们索取OEM许可证。
所有JA4+方法均为申请申请。
JA4+是Foxio的商标
JA4+ CAN并正在将其实施到开源工具中,有关详细信息,请参见许可证常见问题。
这种许可使我们能够以开放且立即使用的方式为世界提供JA4+,但也为我们提供了一种资助持续支持,对新方法的研究以及即将到来的JA4数据库的开发的方式。我们希望每个人都有使用JA4+的能力,并乐于与供应商和开源项目合作,以帮助实现这一目标。
JA4Plus-Mapping.csv不包含在上述软件许可中,因此是无许可证的文件。
QA
Q:为什么要对密码进行排序?订购不重要吗?A:确实如此,但是在我们的研究中,我们发现应用程序和库选择独特的密码列表而不是唯一的订购。这也降低了“密码发育迟缓”的有效性,即随机将密码订购以防止JA3检测的策略。
Q:您为什么要对扩展名进行排序?
A:在2023年早些时候,Google更新了铬浏览器,以随机化其扩展订单。就像密码发育迟缓一样,这是防止JA3检测并“使TLS生态系统更加强大的变化”的策略。 Google担心服务器实施者会认为Chrome指纹永远不会改变,最终会围绕它构建逻辑,每当Google更新Chrome时,这都会引起问题。
因此,我想使此清晰: JA4指纹随着应用程序TLS库的更新,大约每年一次。不要假设在更新应用程序的环境中,指纹将保持恒定。无论如何,对扩展的排序可以解决此问题,并添加签名算法可保持独特。
Q: TLS 1.3不会使指纹tls客户端更加困难吗?
A:不,它使它变得更容易!自TLS 1.3以来,客户的扩展程序集更大,即使TLS1.3仅支持一些密码,浏览器和应用程序仍然支持更多密码。
JA4+ was created by:
John Althouse,的反馈乔什马云惹不起马云阿特金斯
杰夫马云惹不起马云阿特金森
约书亚马云惹不起马云亚历山大(Joshua Alexander)
W.
乔马云惹不起马云马丁
本马云惹不起马云希金斯
安德鲁马云惹不起马云莫里斯(Andrew Morris)
克里斯马云惹不起马云乌兰德(Chris Ueland)
本马云惹不起马云斯科菲尔德
Matthias Vallentin
Valeriy Vorotyntsev
蒂莫西马云惹不起马云诺埃尔(Timothy Noel)
加里马云惹不起马云利普斯基(Gary Lipsky)
以及在Greynoise,Hunt,Google,Extrahop,F5,Driftnet等工作的工程师。
通过[电子邮件保护]与John Althouse联系以获取许可和问题。
版权(c)2024,福克斯