Перейти к содержанию

Trinity

Trinity — это серверное программное обеспечение для глубокой подмены сетевых отпечатков на уровне ядра операционной системы (TCP/IP). Продукт предназначен для обхода самых продвинутых систем пассивного анализа трафика (таких, как p0f), которые определяют реальную ОС сервера по особенностям его сетевого стека.

Trinity - самодостаточное ПО для настройки прокси-фермы.

Ключевое отличие Trinity от всех существующих аналогов — подмена отпечатков на протяжении всей TCP-сессии, а не только в первом SYN-пакете.

Проблема: "Цифровой Двойник"

Представьте, что ваш цифровой профиль — это автомобиль. Антифрод-системы оценивают его на разных уровнях:

  • Уровень приложения (HTTP/JS): Это "внешний вид" авто — цвет, марка, шильдики (User-Agent, Canvas). Это легко подделать.
  • Уровень шифрования (TLS): Это "звук двигателя" (JA3). Уникальный отпечаток, который сложнее подделать, но возможно.
  • Сетевой уровень (TCP/IP или p0f): Это "VIN-номер, выбитый на раме". Самый глубокий идентификатор, который с высочайшей точностью раскрывает реальную операционную систему, отправившую пакет.

Проблема возникает, когда вы используете прокси (например, мобильные прокси на Linux-серверах), а в антидетект-браузере выставляете профиль Windows. Антифрод-система видит явное несоответствие:

  • Внешний вид: Шильдик "Windows".
  • VIN-номер на раме: "Сделано на заводе Linux".

Для антифрод-системы это выглядит как попытка выдать пикап Ford за седан BMW. Это мгновенно повышает ваш Fraud Score до критического уровня.

Технические маркеры, которые вас выдают * **Начальный `TTL` (Time To Live):** `~64` у Linux/Android, `~128` у Windows. * **Порядок TCP-опций (`TCP Option Order`):** Уникален для каждого семейства ОС. * **Размер окна (`Window Size`):** `~65535` у macOS/iOS, `~64240` у Windows, `~42340` у Android.

Решение Trinity: Подмена всей сессии

Большинство "аналогичных" решений на рынке (OS-Fooler-NG и его производные) совершают одну и ту же фатальную ошибку: они подменяют только первый SYN-пакет в соединении.

Это как на старую Toyota приварить VIN-табличку от Ferrari. Любая базовая проверка покажет оригинальный VIN на других частях кузова. Продвинутые антифрод-системы анализируют не только SYN-пакет, но и последующие пакеты (ACK, PSH) на протяжении всей TCP-сессии. Малейшее несоответствие в параметрах (например, в wscale) мгновенно раскрывает подмену.

Trinity работает иначе. Он интегрируется на низком уровне сетевого стека и гарантирует, что все пакеты в рамках одной TCP-сессии будут соответствовать выбранному целевому отпечатку. Trinity не "переклеивает шильдик", а фундаментально "пересобирает шасси", чтобы оно было неотличимо от оригинала.

Ключевые технологии и функции

  • ⚙️ Полная подмена TCP/IP отпечатка: Гарантированное соответствие параметров (TTL, Window Size, TCP Options и др.) целевой ОС на протяжении всей сессии.
  • 🔒 Интегрированная подмена TLS-отпечатков: Возможность привести в соответствие не только TCP/IP, но и JA3-отпечаток.
  • 🚀 Нативная поддержка UDP: Корректная работа с UDP-трафиком (IPv4 и IPv6), что критично для современных протоколов (QUIC, WebRTC).
  • 🛡️ Совместимость с туннелями: Отлично работает в связке с OpenVPN и L2-туннелями, позволяя создавать многоуровневые системы защиты.
  • 💻 Установка на сервер: Поставляется как ПО для установки на ваши Linux-сервера (On-Premises).
  • 💡 Низкие требования к ресурсам: Решение оптимизировано и не создает значительной нагрузки на производительность сервера.

Для кого этот продукт? (Целевая аудитория и кейсы)

Trinity — это B2B-решение для профессионалов, работающих с трафиком в промышленных масштабах.

1. Провайдеры прокси и специалисты по автоматизации

  • Кейс: У вас ферма мобильных или резидентных прокси, поднятая на серверах с Ubuntu/Debian. Trinity позволяет замаскировать всю ферму под пул настоящих Windows- или Android-устройств, делая ваши прокси неотличимыми от реальных пользователей на сетевом уровне. Это критично для обхода антифрод-систем в e-commerce, беттинге и социальных сетях.
  • Кейс для SEO: Создание больших объемов трафика для накрутки поведенческих факторов с уникальными и достоверными системными отпечатками, которым доверяют поисковые системы.

2. Специалисты по кибербезопасности

  • Кейс (Защита / "Blue Team"): У вас есть критически важный Linux-сервер. Вы можете выставить для него TCP-отпечаток обычной рабочей станции на Windows. Это введет в заблуждение автоматизированные сканеры уязвимостей и начинающих атакующих, заставляя их тратить время на поиск эксплойтов под неверную ОС.
  • Кейс (Атака / "Red Team"): Маскировка атакующей инфраструктуры под легитимный трафик для обхода систем обнаружения вторжений (IDS/IPS).
  • Кейс (Исследования): Создание продвинутых Honeypots (приманок для хакеров), которые будут максимально точно имитировать интересующую атакующую сторону инфраструктуру.

Чем Trinity отличается от аналогов?

На рынке нет прямых конкурентов, способных на подмену TCP-отпечатка на протяжении всей сессии.

Параметр Распространенные аналоги (TCP-fooler-ng, Kraken-proxy) Trinity
Глубина подмены Только первый SYN-пакет. Легко детектируется. Вся TCP-сессия. Чрезвычайно сложно обнаружить.
Технологическая база Часто основаны на устаревшем OS-Fooler (Python 2, 2012 г.). Современное, высокопроизводительное ПО.
Надежность Нестабильная работа, часто "слетает" при анализе. Стабильная работа под высокой нагрузкой.
Поддержка Отсутствует или осуществляется сообществом. Профессиональная B2B-поддержка и обновления.

FAQ (Часто задаваемые вопросы)

В: Trinity — это просто продвинутый `OS-Fooler-NG`? О: Нет. Это принципиально иное решение. `OS-Fooler` и его аналоги работают на уровне user-space и могут перехватить и изменить только первый пакет. Trinity работает на более низком уровне, модифицируя поведение самого сетевого стека для генерации нужных отпечатков на протяжении всего времени жизни соединения.
В: На какие ОС можно установить Trinity? О: Trinity предназначен для установки на серверные дистрибутивы Linux (рекомендуется Ubuntu, Debian).
В: Как это влияет на производительность сети? О: Влияние на производительность минимально. Решение оптимизировано для работы в high-load окружениях и не является узким местом в сетевой инфраструктуре.
В: Могут ли антифрод-системы обнаружить Trinity? О: Теоретически, любой метод маскировки может быть обнаружен. Однако Trinity поднимает планку детекции на принципиально новый уровень. Для обнаружения такой подмены антифрод-системе потребуется доступ к анализу всего маршрута пакетов (чего у нее нет) или поиск поведенческих аномалий совершенно иного порядка, что делает стандартные методы детекции по `p0f` бесполезными.

Модель лицензирования и стоимость

  • Модель: On-Premises Enterprise Subscription
  • Стоимость: $5,000 – $7,000 в год.
  • Зависимость цены: Стоимость варьируется в зависимости от требуемого объема трафика, количества сетевых интерфейсов и уровня поддержки.

Контакты

  • Обсудить покупку и интеграцию: https://t.me/zl0y0
  • Другие продукты экосистемы: https://zl0y.team/
  • YouTube канал с разборами: https://www.youtube.com/channel/UC5jAbtm6plZpHDg_mV_aLeQ