go 标准库无法直接获取 ja3 指纹,因 http.server 在 tls 握手后丢弃 clienthello;需用 net.listen + tls.server 自定义 getconfigforclient 回调,或更可行的 utls 库在 handshake 前截获 clienthellomsg,严格按规范拼接字段(如 "771,4865-4866,0-23,29-23")并 md5。
Go 里没法直接拿到 JA3 指纹,因为 net/http 不暴露 TLS 握手细节
Go 标准库的 http.Server 在 TLS 握手完成后就丢弃了原始 ClientHello 数据,JA3 依赖的 cipher suites、extensions、elliptic curves 等字段在 tls.Conn 层之后就不可见了。这不是配置问题,是设计取舍——Go 优先保证安全抽象,不鼓励应用层干预握手过程。
想获取 JA3,必须绕过 http.Server,自己监听 TCP + 手动解析 TLS ClientHello:
- 用
net.Listen("tcp", ":443")启一个裸 TCP listener - 对每个连接,用
tls.Server(conn, config, nil)做 TLS 协商,但传入自定义GetConfigForClient回调 - 在回调中,
info.State里没有 ClientHello;真正能拿到原始字节的地方,是tls.Server内部首次读取时——所以得用conn.SetReadDeadline配合手动io.ReadFull提前截获前几百字节 - JA3 计算本身不依赖 Go 标准库:需解析 TLS ClientHello 的 handshake type、version、cipher suites、compression methods、extensions 顺序(注意:不是内容哈希,是字符串拼接后 MD5)
用 github.com/refraction-networking/utls 拦截 ClientHello 最可行
utls 是 Go 生态中少数能干净 hook TLS 握手的库,它重实现了 crypto/tls 客户端/服务端逻辑,允许你在 Handshake 前拿到完整 clientHelloMsg 结构体。服务端场景下,你需要:
- 把标准
http.Server换成utls.Server,并传入自定义GetConfigForClient - 在回调中,从
clientHello字段提取CipherSuites、CompressionMethods、Extensions(注意过滤掉 SNI、ALPN 等非 JA3 字段) - 按 JA3 规范拼接:例如
"771,4865-4866-4867,0-23-65281,29-23-24,0",再md5.Sum([]byte(...)).Hex() - ⚠️
utls.Server不兼容所有http.Server配置项,比如MaxHeaderBytes要手动透传到底层net.Conn,否则可能 panic
JA3 字符串拼接规则容易错:顺序、分隔符、字段过滤都得严格对齐
JA3 不是“随便把几个字段连起来哈希”,官方 spec 对每个字段的序列化格式有硬性要求:
立即学习“go语言免费学习笔记(深入)”;
- TLS version 必须用十进制(
771表示 TLS 1.2),不能用"1.2"或十六进制 - Cipher suites 必须按 ClientHello 中出现顺序、逗号分隔、十进制数字(如
4865是 TLS_AES_128_GCM_SHA256),不能去重、不能排序 - Extensions 必须只取 type 编号(
29是 signed_certificate_timestamp),跳过server_name(0)、application_layer_protocol_negotiation(16)等被明确排除的 extension - Elliptic curves 和 point formats 也需按顺序提取编号,且曲线编号(如
23)和点格式编号(如0)用短横线连接,组间用逗号 - 最终字符串末尾不能有多余逗号或空格,MD5 输入必须是纯 ASCII 字符串
生产环境用 JA3 做反爬要小心 TLS 版本漂移和客户端伪造
JA3 指纹本质是 TLS 实现指纹,但它非常脆弱:
- Chrome/Firefox 更新 TLS stack 后,哪怕小版本升级也可能改变 extension 发送顺序,导致同一浏览器产生多个 JA3 值
- Python 的
requests+urllib3默认不发某些 extension(如supported_versions),但加了pyOpenSSL就会变,同一代码在不同环境 JA3 不同 - 攻击者用
utls或curl --tlsv1.2 --ciphers可轻易伪造任意 JA3,它只能筛掉最懒的脚本,拦不住有心人 - 如果你在 reverse proxy(如 nginx)后做 JA3,务必确认 TLS 终止发生在你的 Go 服务之前——否则你看到的是 nginx 的 JA3,不是客户端的
真正在意识别精度的话,别只盯 JA3;结合 ALPN、User-Agent TLS 扩展里的域名、证书验证行为、HTTP/2 SETTINGS 帧顺序,才有点区分度。但每多加一条,维护成本就翻倍。
