چطور Akamai Bot Manager را در سال ۲۰۲۶ دور بزنیم

Akamai Bot Manager از هر سیستم ضدبات دیگری از هدف‌های پُرارزش‌تری محافظت می‌کند — شرکت‌های هواپیمایی، عرضه‌های کفش، فروش بلیت، خرده‌فروشی‌های بزرگ. همچنین قدیمی‌ترین بازیگر این میدان است، که دو معنا دارد: تشخیصش بالغ‌ترین است، و سبک بلاک کردنش متمایزترین. Akamai به‌ندرت کپچا نشانتان می‌دهد. یک ۴۰۳ خاموش روی edge می‌گیرید، یک حلقه ریدایرکت بی‌پایان، یا — حرکت امضایی‌اش — صفحه‌ای که خوب لود می‌شود ولی داده مسموم برمی‌گرداند.

این راهنما آنچه را که Akamai واقعاً در سال ۲۰۲۶ بررسی می‌کند و یک رویکرد چهارلایه‌ای کارا را پوشش می‌دهد، در همان روحیه راهنماهای DataDome/PerimeterX و Cloudflare ما. همان سلب مسئولیت برقرار است: این برای اسکرپ داده‌های عمومی با نرخ‌های منطقی است، نه برای سوءاستفاده.

Akamai چطور تصمیم می‌گیرد که شما یک بات هستید

Akamai هر درخواست را در سه لایه امتیازدهی می‌کند، و امتیاز از طریق کوکی _abck session شما را دنبال می‌کند:

۱. لایه شبکه (پیش از هر JavaScript)

• TLS fingerprinting — Akamai بیش از هر کس دیگری TLS fingerprinting اجرا کرده است. یک ClientHello از جنس python-requests یا Go-http در همان اولین پکت علامت می‌خورد. برای اینکه این چطور کار می‌کند، توضیح JA3/JA4 ما را ببینید.
• HTTP/2 fingerprinting — این تخصص Akamai است. مقادیر SETTINGS frame، افزایش‌های WINDOW_UPDATE، priority frame ها، و ترتیب pseudo-header (:method :path :authority :scheme در برابر :method :authority :scheme :path مربوط به Chrome) کلاینت شما را حتی وقتی TLS تان تقلید شده، شناسایی می‌کنند. اکثر موارد «JA3 من کامل است اما باز هم بلاک می‌شوم» روی سایت‌های Akamai، عدم تطابق فینگرپرینت HTTP/2 هستند.
• اعتبار IP — نوع ASN (دیتاسنتر در برابر مسکونی)، تاریخچه سوءاستفاده مشترک در سراسر کل شبکه مشتریان Akamai.

۲. لایه سنسور (کوکی _abck)

JavaScript مربوط به Akamai یک payload رمزنگاری‌شده بزرگ به نام «sensor_data» جمع می‌کند: مسیرهای حرکت ماوس، زمان‌بندی فشار کلید، جهت‌گیری دستگاه، هش‌های canvas/WebGL، آثار اتوماسیون. این را به دامنه محافظت‌شده POST می‌کند، و پاسخ کوکی _abck شما را ارتقا می‌دهد (یا مسموم می‌کند). یک _abck معتبر در یک موقعیت مشخص ~0~ دارد؛ یک علامت‌خورده ~-1~ دارد. فرمت سنسور هر چند هفته تغییر می‌کند — به همین خاطر سنسورهای ضبط‌و‌بازپخش‌شده زود می‌میرند.

۳. لایه رفتاری

ریتم درخواست‌ها، ترتیب ناوبری (آیا API محصول را بدون اینکه هرگز صفحه محصول را لود کنید زدید؟)، و سن session. Akamai صبور است: گاهی چند درخواست اول را عبور می‌دهد و وقتی امتیاز انباشته شد، شما را وسط session بلاک می‌کند.

چهار لایه یک راه‌اندازی کارا

لایه ۱: IPهای مسکونی با sticky session

IPهای دیتاسنتر روی سایت‌های محافظت‌شده با Akamai مرده‌اند — صرفِ بررسی ASN آن‌ها را می‌کشد. از پروکسی‌های مسکونی استفاده کنید، و چون کوکی _abck به session شما گره خورده، از sticky session استفاده کنید: یک IP که برای کل طول عمر یک هویت نگه داشته می‌شود، کوکی‌ها و IP با هم به‌عنوان یک واحد چرخش می‌کنند. تغییر IP وسط session اعتماد سنسوری که ساخته‌اید را باطل می‌کند. (استراتژی کامل: sticky در برابر rotating session.)

# یک هویت sticky = یک session id، نگه‌داشته‌شده حدود ۱۰ دقیقه
socks5h://USERNAME:[email protected]:913

لایه ۲: مرورگر واقعی، یا تقلید کامل

برای اسکرپینگ صرفاً HTTP، کلاینت شما باید هم TLS و هم HTTP/2 را تقلید کند. curl_cffi هر دو را درست انجام می‌دهد:

from curl_cffi import requests

r = requests.get(
    "https://www.target-site.com/api/inventory",
    impersonate="chrome",   # TLS + HTTP/2 fingerprint together
    proxies={"https": "socks5h://USERNAME:[email protected]:913"},
)

httpx ساده با HTTP/2 روشن کافی نیست — فینگرپرینت h2 مربوط به httpx مال خودش است، نه Chrome. اگر با یک فینگرپرینت TLS تمیز هنوز ۴۰۳ می‌گیرید، تقریباً همیشه دلیلش همین است. (پیش‌زمینه: راهنمای curl_cffi و tls-client.)

لایه ۳: پیش از زدن به API ها یک _abck معتبر کسب کنید

برای هر چیزی فراتر از صفحات استاتیک، برای handshake مربوط به session یک مرورگر واقعی اجرا کنید: صفحه فرود را لود کنید، بگذارید اسکریپت سنسور اجرا شود، چند تعامل انسان‌نما انجام دهید (اسکرول، حرکت ماوس)، سپس کوکی‌ها را برای کلاینت HTTP خود استخراج کنید — از طریق همان پروکسی:

from playwright.sync_api import sync_playwright

with sync_playwright() as p:
    browser = p.chromium.launch(proxy={
        "server": "us.jibaoproxy.com:913",
        "username": "USERNAME", "password": "PASSWORD",
    })
    page = browser.new_page()
    page.goto("https://www.target-site.com/")
    page.mouse.move(300, 400); page.mouse.wheel(0, 600)
    page.wait_for_timeout(3000)   # POST سنسور اینجا رخ می‌دهد
    cookies = page.context.cookies()
    abck = next(c["value"] for c in cookies if c["name"] == "_abck")
    # "~0~" در abck -> معتبر؛ "~-1~" -> علامت‌خورده، با هویت جدید از نو شروع کن

لایه ۴: مثل ترافیکی که ادعایش را دارید رفتار کنید

• قیف ناوبری واقعی را دنبال کنید — صفحه دسته‌بندی → صفحه محصول → API، هرگز API-اول.
• نرخ درخواست به‌ازای هر هویت را انسانی نگه دارید (یک آدم ۲۰۰ SKU در دقیقه چک نمی‌کند).
• هویت‌ها را بعد از حدود ۵۰ تا ۱۰۰ درخواست بازنشسته کنید؛ IP را به استخر برگردانید.
• مراقب پاسخ‌های مسموم باشید: کثیف‌ترین ترفند Akamai یک HTTP 200 با قیمت/موجودی به‌طور ظریف غلط است. مقادیر اسکرپ‌شده را در هر اجرا با یک قلم کنترلی شناخته‌شده اعتبارسنجی کنید.

دیباگ: در کدام لایه شکست می‌خورید؟

نشانه	لایه محتمل	راه‌حل
۴۰۳ در اولین درخواست، بدون دخالت کوکی	فینگرپرینت TLS / HTTP/2	تقلید با curl_cffi، نه httpx خام
درخواست‌های اول OK، بعد از ۵ تا ۱۰ تا بلاک	اعتبار IP یا ریتم	sticky session مسکونی، آهسته‌تر بروید
_abck شامل ~-1~	سنسور / آثار اتوماسیون	handshake با مرورگر واقعی، اول تعامل انسانی
200 OK اما داده غلط به نظر می‌رسد	پاسخ مسموم	علامت خورده‌اید — ریست کامل هویت
حلقه ریدایرکت بی‌پایان در ورود	بلاک سطح-edge روی IP	IP مسکونی جدید، چک کنید ASN علامت نخورده باشد

جمع‌بندی

• Akamai = TLS به‌علاوه HTTP/2 fingerprinting روی edge، یک کوکی سنسور رمزنگاری‌شده (_abck)، و امتیازدهی رفتاری صبورانه.
• IPهای دیتاسنتر مرده‌اند؛ sticky session های مسکونی اجباری‌اند — کوکی و IP باید به‌صورت یک هویت چرخش کنند.
• کلاینت‌های صرفاً HTTP به تقلید کامل (curl_cffi) نیاز دارند؛ httpx-با-h2 همچنان بررسی HTTP/2 را رد می‌شود.
• پیش از دست زدن به API ها با یک مرورگر واقعی یک _abck معتبر کسب کنید؛ وجود ~0~ را چک کنید.
• مراقب داده مسموم با 200-OK باشید — در هر اجرا در برابر یک قلم کنترلی اعتبارسنجی کنید.