چطور DataDome و PerimeterX (HUMAN) را در ۲۰۲۶ دور بزنیم

منتشر شده در 4 ژوئن 2026 · زمان مطالعه ≈ 9 دقیقه

اگر Cloudflare اولین سیستم anti-bot است که همه با آن روبه‌رو می‌شوند، DataDome و PerimeterX (که حالا HUMAN Security است) همان‌هایی هستند که پروژه‌های اسکرپ را به پایان می‌رسانند. آن‌ها از هدف‌هایی محافظت می‌کنند که مردم واقعاً می‌خواهند: سایت‌های کفش و بلیت، موتورهای کرایهٔ سفر، پلتفرم‌های بزرگ تجارت الکترونیک، آگهی‌ها. و برخلاف نسخهٔ رایگان Cloudflare، هر سایتی که این‌ها را اجرا می‌کند به‌طور مشخص پول داده تا جلوی شما را بگیرد.

این وضعیت ۲۰۲۶ از آن چیزی است که هر دو سیستم بررسی می‌کنند، چرا ریپازیتوری‌های «bypass» در گیت‌هاب مرده‌اند، و رویکرد چهارلایه‌ای که هنوز کار می‌کند. همان ساختار راهنمای دور زدن Cloudflare ما را دنبال می‌کند — اگر آن را نخوانده‌اید، از آنجا شروع کنید؛ مبانی روی هم هم‌پوشانی دارند.

سلب مسئولیت استاندارد: داده‌های عمومی را اسکرپ کنید، به شرایط خدمات و قانون محلی احترام بگذارید و هیچ‌کدام از این‌ها را علیه سیستم‌هایی که حق دسترسی به آن‌ها را ندارید به کار نبرید.

DataDome در ۲۰۲۶ چطور کار می‌کند

DataDome یک موتور تصمیم سمت سرور را اجرا می‌کند که با سه گروه سیگنال تغذیه می‌شود و به‌ازای هر درخواست در کمتر از ۲ میلی‌ثانیه امتیازدهی می‌شود:

اعتبار شبکه. نوع ASN از نوع IP (دیتاسنتر در برابر مسکونی در برابر موبایل)، تاریخچهٔ درخواست IP در سراسر کل شبکهٔ مشتریان DataDome (این قاتل ماجراست — یک IP که روی یک سایت DataDome سوخته باشد، روی همهٔ آن‌ها سوخته است)، fingerprint از نوع TLS (JA4) و ترتیب فریم HTTP/2.
سیگنال‌های دستگاه. یک تگ جاوااسکریپت هش‌های canvas/WebGL، audio context، متریک‌های صفحه، فونت‌های نصب‌شده، ویژگی‌های navigator و آرتیفکت‌های CDP/headless را جمع می‌کند. payload رمزگذاری و در برابر replay محافظت‌شده است — گرفتن یک payload معتبر و دوباره فرستادن آن سال‌ها پیش از کار افتاد.
امتیازدهی رفتاری. مسیرهای حرکت ماوس، فیزیک اسکرول، توزیع زمان بین اکشن‌ها و — برای جریان‌های واردشده — ثبات در طول کل سشن. خودکارسازی محض از نوع replay هیچ واریانس طبیعی ندارد و امتیاز افتضاحی می‌گیرد.

اگر امتیاز را رد کنید، یا میان‌صفحهٔ «captcha-delivery.com» را می‌گیرید (کپچای DataDome) یا یک 403 بی‌سروصدا با یک cookie به نام datadome.

PerimeterX / HUMAN در ۲۰۲۶ چطور کار می‌کند

همان سه ستون، با وزن‌دهی متفاوت. PerimeterX بیشتر روی سنسور جاوااسکریپت خود (cookieهای _px، جمع‌کنندهٔ px.js) و بر بیومتریک رفتاری تکیه می‌کند. «Human Challenge» آن — دکمهٔ فشار و نگه‌داشتن — به‌طور صریح طراحی شده تا منحنی‌های فشار اشاره‌گر واقعی را بطلبد که ربات‌های replay در آن شکست می‌خورند.

تفاوت‌های عملی که برایتان مهم‌اند:

payloadهای سنسور PerimeterX به‌شدت مبهم‌سازی شده و مرتب می‌چرخند — مهندسی معکوس آن‌ها یک شغل تمام‌وقت است، به همین دلیل هر ریپازیتوری متن‌باز px-bypass ظرف چند هفته می‌میرد.
DataDome در لایهٔ شبکه پرخاشگرانه‌تر مسدود می‌کند (IP بد = 403 آنی پیش از اجرای حتی یک خط JS)؛ PerimeterX بیشتر اوقات شما را راه می‌دهد و بعد افتتان می‌اندازد (دادهٔ مسموم، مسدودسازی نرم).
هر دو اعتبار IP را در میان همهٔ مشتریان به اشتراک می‌گذارند. سوزاندن IPها روی هر دو پیامد در سطح کل شبکه دارد.

چیزهایی که دیگر کار نمی‌کنند

Chrome headless + پلاگین stealth به‌تنهایی. هر دو فروشنده آرتیفکت‌های زمان‌بندی CDP را fingerprint می‌کنند که پلاگین‌های stealth آن‌ها را patch نمی‌کنند.
پروکسی دیتاسنتر در هر اندازه. طبقه‌بندی ASN آنی و مشترک است. ۱۰٬۰۰۰ IP از AWS یعنی ۱۰٬۰۰۰ IP از پیش پرچم‌خورده.
Replay مربوط به cookie/payload. payloadهای سنسور روی هر دو سیستم به دستگاه مقیدند و در برابر replay محافظت‌شده‌اند.
requests / httpx با هدرهای مرورگر. دست‌دهی TLS پیش از اولین بایت HTTP شما را لو می‌دهد — JA3/JA4 توضیح داده‌شده را ببینید.

رویکرد چهارلایه‌ای که کار می‌کند

لایهٔ ۱: IPهای مسکونی با چرخش منضبط

روی این اهداف غیرقابل‌مذاکره است. IPهای مسکونی یا موبایل از یک استخر با سابقهٔ سوءاستفادهٔ پایین، که به‌ازای هر سشن چرخانده می‌شوند، نه به‌ازای هر درخواست:

# یک سشن sticky به‌ازای هر هویت مرورگری - شبیه بازدید یک کاربر واقعی است
proxy = "socks5h://USERNAME-session-a1b2c3:[email protected]:913"

چرخش به‌ازای هر درخواست علیه DataDome نتیجهٔ معکوس می‌دهد: یک «کاربر» که IP‌اش در هر بار بارگذاری صفحه عوض می‌شود، خودش یک امضای ربات است. یک IP را برای یک بازدید منطقی (۵ تا ۱۵ صفحه) نگه دارید، سپس شناسهٔ سشن را بازنشسته کنید. اگر یک 403 یا کپچا گرفتید، روی همان IP retry نکنید — آن IP حالا داغ‌تر است؛ سشن را بچرخانید و سرعت را کم کنید.

لایهٔ ۲: یک مرورگر واقعی با نشانه‌های خودکارسازی patch‌شده

برای جریان‌های محافظت‌شده با DataDome/PerimeterX، یک Chromium واقعی اجرا کنید — اگر از پسش برمی‌آیید headed — از طریق Playwright با patchهای ضد تشخیص CDP (rebrowser-patches و فورک‌های آن)، یا یک مرورگر anti-detect تجاری. سنسور JS باید اجرا شود و یک روایت دستگاه منسجم تولید کند: آنتروپی canvas واقعی، متریک‌های صفحهٔ سازگار، timezone‌ای که با کشور IP پروکسی می‌خواند.

لایهٔ ۳: واقع‌گرایی رفتاری

اول روی صفحهٔ اصلی یا یک صفحهٔ جستجو فرود بیایید؛ هیچ‌کس به صفحهٔ ۴۷ آگهی‌ها teleport نمی‌کند.
حرکت ماوس با منحنی انسانی به سمت عناصر (مسیرهای Bezier با نویز)، نه پرش مختصاتی.
زمان فکر کردن لگ‌نرمال بین اکشن‌ها (۰.۸ تا ۴ ثانیه)، نه تصادفی یکنواخت.
پیش از خواندن اسکرول کنید؛ صفحات عمق اسکرول را گزارش می‌دهند.
نرخ درخواست به‌ازای هر هویت را در سطح انسانی نگه دارید — یک کاربر حدود ۱۰ تا ۲۰ صفحه در هر سشن می‌خواند، نه ۴۰۰.

لایهٔ ۴: افقی مقیاس بدهید، نه عمودی

ریاضیاتی که واقعاً این سیستم‌ها را شکست می‌دهد: به‌جای یک هویت که ۱٬۰۰۰ صفحه می‌بیند (غیرممکن است انسانی به نظر برسد)، ۱۰۰ هویت اجرا کنید که هرکدام ۱۰ صفحه می‌بینند. هر هویت = یک شناسهٔ سشن مسکونی + یک fingerprint + ضرب‌آهنگ انسانی. این یک نبرد اقتصادی است — با بی‌نظیر کردن هر هویت به‌صورت فردی برنده می‌شوید.

ابزار رایگان · بدون ثبت‌نام

پیش از سوزاندن IPها ببینید DataDome چه می‌بیند

Anti-Bot Detector ما راه‌اندازی شما را روی همان کلاس‌های سیگنال امتیازدهی می‌کند — نوع IP/ASN، fingerprint از نوع TLS، آرتیفکت‌های headless، ثبات fingerprint — تا پیش از دست زدن به یک هدف محافظت‌شده، لایهٔ ضعیف خود را بشناسید.

اجرای بررسی anti-bot →

به‌عنوان دیتاسنتر پرچم خوردید؟ آن لایه اول از همه روی DataDome شکست می‌خورد — IPهای مسکونی را با ۵ دلار اعتبار رایگان آزمایش کنید →

DataDome در برابر PerimeterX: تفاوت‌های تاکتیکی

جنبه	DataDome	PerimeterX / HUMAN
رفتار با IP بد	403 آنی / میان‌صفحهٔ کپچا	اغلب نرم: پاسخ‌های افت‌داده یا مسموم
نوع چالش	کپچای پازل (captcha-delivery.com)	Human Challenge فشار و نگه‌داشتن
تأکید تشخیص	لایهٔ شبکه + دستگاه	سنسور JS + بیومتریک رفتاری
cookie‌ای که باید پاییدش	`datadome`	`_px2` / `_px3`
اگر چالش داده شد	سشن را بچرخانید، از یک IP مکرر حلش نکنید	سخت عقب بکشید؛ چالش‌های مکرر شکست‌خورده هویت را مسموم می‌کنند

پایش: بدانید کِی دارید افت داده می‌شوید

هر دو سیستم می‌توانند بی‌سروصدا شما را شکست دهند. خط لولهٔ خود را ابزارگذاری کنید:

روی نرخ 403/کپچا به‌ازای هر ۱۰۰ درخواست، به‌ازای هر شناسهٔ سشن هشدار بدهید.
دادهٔ تجزیه‌شده را در برابر یک نمونهٔ دستی شناخته‌شده و سالم به‌صورت نمونه‌ای بررسی کنید — سایت‌های محافظت‌شده با PerimeterX دیده شده‌اند که قیمت‌های ظریفاً نادرست به ربات‌های مشکوک می‌دهند.
نرخ مسدودسازی را به‌تفکیک سشن پروکسی ردیابی کنید؛ سشن‌های داغ را زود بازنشسته کنید به‌جای فشار آوردن.

خلاصه

DataDome و PerimeterX در ۲۰۲۶ سیستم‌های امتیازدهی‌اند، نه دروازه — شما با یک ترفند آن‌ها را «دور نمی‌زنید»، بلکه روی هر لایه به‌طور هم‌زمان زیر آستانهٔ امتیاز می‌مانید: IP مسکونی تمیز به‌ازای هر هویت، مرورگر واقعی با نشانه‌های patch‌شده، رفتار انسانی، و مقیاس‌دهی افقی. تیم‌هایی که موفق می‌شوند هر هویت را یک‌بارمصرف و بی‌نشان می‌دانند؛ آن‌هایی که شکست می‌خورند می‌کوشند یک اتصال را وادار به کار ابرانسانی کنند.

لایهٔ ۱ با IPهای تمیز شروع می‌شود

سشن‌های مسکونی با ماندگاری به‌ازای هر هویت. ۵ دلار اعتبار رایگان برای آزمایش در برابر هدف شما.

شروع تست رایگان