OSDWAN

Amazon detects proxy IP usage for seller accounts – OSDWAN网络指南

Amazon 的 seller account infrastructure 使用多层检测机制来识别 proxy IP usage，将 passive fingerprinting 与 active behavioral analysis 结合起来。

在 network layer，Amazon 会把每个 inbound IP 与商业 threat intelligence databases 交叉比对，例如 MaxMind、IPQualityScore，以及基于多年 abuse pattern observation 汇总的 internal blocklists。这些数据库会标记已知的 datacenter ASNs（Autonomous System Numbers）、VPN providers 和 residential proxy networks。当 seller 从属于由 Choopa、Vultr 或 OVH 等公司运营的 ASN 的 IP 登录时，系统会立即分配更高的 risk score，因为合法 seller 很少会从 datacenter infrastructure 进行操作。Amazon 还会检查该 IP 的 reverse DNS record 是否与声称的 geographic origin 一致，以及 PTR record pattern 是否更像 hosting infrastructure，而不是 residential ISP assignment。

TCP/IP fingerprinting 又增加了一层。TCP handshake 的 kernel-level characteristics，包括 window size、TTL values 以及 TCP options 的排列顺序，能够暴露底层 operating system。如果这些值与 browser 的 user agent 声称内容不一致，就表明流量可能经过了会在传输中修改 packet headers 的 proxy 或 VPN。Amazon 的 edge infrastructure 会在 seller 不知情的情况下被动捕获这些 signatures。

通过 JA3 和 JA3S hashing 的 TLS fingerprinting 会检查在 SSL handshake 期间声明的特定 cipher suites、extensions 和 elliptic curves。每个 client application 都会生成相对独特的 fingerprint。一个声称自己是 Windows 上 Chrome 120 的 browser 应该产生特定的 JA3 hash。如果这个 hash 匹配已知的 proxy tool、automated scraper 或 headless browser，而不是正常浏览器，即使 user agent string 说的是别的，session 也会被标记。

在 application layer，Amazon 的 JavaScript 会在 browser 中运行 behavioral telemetry。这包括 mouse movement entropy、keystroke timing、scroll behavior 和 canvas fingerprinting。Canvas fingerprinting 的工作方式是渲染一个不可见的 graphic element 并读取返回的 pixel data，而这会因 GPU、driver version 和 OS-level font rendering 的不同而变化。夹在 seller 与 Amazon 之间的 proxy 不会影响这一点，因为 JavaScript 是在实际 client device 上执行的。不过，如果 canvas fingerprint、timezone、language settings 和 WebGL renderer 与声称的 IP geolocation 不一致，这种 mismatch 就是一个强信号。一个 IP geolocates 到德国，但 browser 报告 US Eastern timezone 且 English 是 primary language 的 seller，会触发 correlation alerts。

IP velocity 和 session correlation 也非常重要。Amazon 会追踪同一个 seller account 是否在很短时间内从多个地理位置相距很远的 IP 访问平台，这种模式被称为 impossible travel。他们还会维护每个 account 的长期 IP history。一个一直只从 Ohio 的某个 residential IP 登录的 seller，突然从一个 rotating residential proxy pool 出现，即便单个 IP 单独看都很干净，也会产生 anomaly score。

HTTP header analysis 还能捕捉操作员常常忽略的 proxy artifacts。像 X-Forwarded-For、Via、X-Real-IP 和 Forwarded 这样的 headers，经常会被许多 proxy configurations 注入，而且 Amazon 的 servers 可以非常直接地看到。即便 proxy operators 清除了这些 headers，缺少预期的 browser-generated headers，或者 header sequence 中存在细微的 ordering differences，也可能表明流量经过了 proxy。

最后，Amazon 会跨 account 关联 device fingerprints。如果两个 seller accounts 共享相同的 canvas fingerprint、installed font set 或 screen resolution，但 IP addresses 不同，这说明可能是同一个 operator 通过 proxies 管理多个 accounts，这违反了他们的 terms of service，并会触发 account linkage analysis。