Не все прокси одинаково анонимны. Один полностью прячет ваш реальный IP, второй — прячет IP, но громко сообщает «эй, я прокси», третий — открыто пробрасывает ваш настоящий адрес дальше. Разберёмся как именно это работает на уровне HTTP-заголовков и как самому быстро проверить любой прокси.

Что такое уровень анонимности

Понятие «уровень анонимности» применимо только к HTTP и HTTPS прокси. Для SOCKS5 этой характеристики не существует — на уровне протокола SOCKS5 не передаёт никаких метаданных о клиенте, поэтому он всегда «максимально анонимный» по этому критерию.

Когда вы делаете HTTP-запрос через прокси, прокси может (или не может) добавить в запрос дополнительные заголовки. Целевой сервер по этим заголовкам понимает:

  1. Был ли запрос отправлен через прокси.
  2. Если да — какой у клиента реальный IP.

В зависимости от того, что прокси добавляет, его относят к одной из трёх категорий: Elite, Anonymous или Transparent.

Какие заголовки выдают прокси

Список «опасных» HTTP-заголовков, на которые смотрит антифрод:

  • Via — стандартный заголовок промежуточных нод (RFC 7230). Прокси по правилам должен его добавлять. Из него понятно, что между клиентом и сервером был хотя бы один прокси.
  • X-Forwarded-For — де-факто стандарт. Содержит цепочку IP клиентов: X-Forwarded-For: real_client, intermediate_proxy. Если прокси выставил сюда ваш реальный IP — анонимности у вас нет вовсе.
  • Forwarded — современная замена X-Forwarded-For (RFC 7239). Используется реже но смысл тот же.
  • Proxy-Connection — старая нестандартная штука. Если прокси её выставил — выдаёт себя.
  • X-Real-IP, True-Client-IP, CF-Connecting-IP, X-Client-IP — нестандартные варианты для проброса реального IP. Используются часто.
  • X-ProxyUser-Ip, X-Forwarded — экзотика, иногда встречается у плохо настроенных прокси.
Простое правило: любой заголовок, начинающийся с X- и упоминающий Forwarded, Real, Client или Proxy, должен вас насторожить. Если ваш прокси такие заголовки выставляет — вы не анонимны.

Elite — невидимка

Elite-прокси (он же «high anonymous») — золотой стандарт. Целевой сервер получает запрос с IP прокси, и в заголовках нет ни одной подсказки о том, что это прокси:

  • Нет Via
  • Нет X-Forwarded-For
  • Нет Forwarded
  • Нет Proxy-Connection

Сервер видит запрос как обычный пользовательский. По заголовкам в принципе нельзя отличить запрос через elite-прокси от запроса напрямую. Антифрод-системы могут только догадываться по другим признакам — ASN, поведенческие паттерны, отпечаток TLS.

Большинство платных HTTP-прокси работают в режиме Elite. Но это надо проверять — некоторые «элитные» прокси на самом деле случайно или специально передают что-то лишнее.

Anonymous — скрывает IP, но выдаёт себя

Anonymous-прокси прячет ваш реальный IP — он не добавляет X-Forwarded-For с вашим адресом — но при этом честно ставит Via или Proxy-Connection. То есть сервер знает: «этот запрос пришёл через прокси, но я не знаю с какого именно IP клиента».

Это всё ещё лучше чем Transparent — реальный IP вы скрыли. Но для антибот-систем сам факт прокси уже основание поднять «risk score» и попросить капчу или просто заблокировать. Особенно если прокси на datacenter-IP.

Типичный сценарий — корпоративный прокси компании, который пропускает сотрудников в интернет. Такие прокси в большинстве случаев Anonymous: руководство видит что запрос «через нашу прокси», но не палит конкретного сотрудника.

Transparent — пробрасывает реальный IP

Transparent-прокси — самый «честный» и самый бесполезный для анонимности. В заголовке X-Forwarded-For прямо проброшен ваш реальный IP. Сервер видит и факт прокси, и адрес настоящего клиента:

X-Forwarded-For: 95.168.107.23, 1.2.3.4
Via: 1.1 proxy.example.com

Тут 95.168.107.23 — ваш домашний IP, 1.2.3.4 — IP прокси. Анонимность ноль.

Зачем такие вообще существуют:

  • Логирование на стороне прокси. Корпоративный или провайдерский прокси видит кто куда ходил.
  • Геолокация. Если прокси нужен для гео-обхода (открыть сайт из другой страны), но при этом сайту важно знать ваш реальный IP — Transparent делает это.
  • Кэширующие прокси. CDN-узлы и кэши провайдера часто работают как Transparent — кэшируют контент, но передают идентификацию запроса дальше.

Если вы случайно купили Transparent-прокси у поставщика и думали что вы анонимны — поздравляю, вы только что заплатили деньги за то, чтобы каждый сайт логировал ваш реальный IP с пометкой «через прокси». Не используйте такие прокси.

Как самому проверить уровень анонимности

Самый простой способ — отправить запрос через ваш прокси на сервис, который возвращает все полученные заголовки. Самый известный — httpbin.org/headers:

curl -x http://login:password@1.2.3.4:8080 https://httpbin.org/headers

Ответ будет JSON со всеми заголовками что увидел httpbin. Смотрите наличие Via, X-Forwarded-For, Forwarded:

{
  "headers": {
    "Host": "httpbin.org",
    "User-Agent": "curl/8.5.0",
    "Via": "1.1 squid",                  ← прокси выдал себя
    "X-Forwarded-For": "95.168.107.23"   ← и пробросил реальный IP
  }
}

Алгоритм классификации простой:

  1. Если есть X-Forwarded-For с реальным IP → Transparent
  2. Если нет X-Forwarded-For, но есть Via или Proxy-ConnectionAnonymous
  3. Если нет ни того, ни другого, ни третьего → Elite

В ProxyLab эта логика автоматическая. При проверке прокси чекер делает реальный запрос через прокси на httpbin и парсит ответ — никаких «эвристик» или «известных списков элитных прокси», только реальная проверка.

Почему уровень анонимности — не главное

Парадокс: Elite-прокси на грязном datacenter-IP хуже чем Transparent-прокси на чистом residential-IP — для большинства задач антифрода. Потому что:

  • Антифрод не сильно смотрит на Via/X-Forwarded-For — они старые и легко чистятся.
  • Антифрод смотрит в первую очередь на репутацию IP и поведение клиента.
  • Datacenter-IP с пометкой «прокси» в ASN-базе — это автоматически high-risk, даже если в HTTP-заголовках безупречно чисто.

Поэтому если вы боретесь с Cloudflare или антифродом маркетплейса — анонимность заголовков это последнее о чём стоит думать. Сначала возьмите residential-прокси, потом думайте про заголовки. Это разобрано в отдельной статье про типы прокси по происхождению.

Где Elite-уровень всё-таки критичен:

  • Простые сайты без серьёзного антифрода — там пометки «прокси» в заголовках достаточно для бана.
  • Ваш собственный сервер, который вы тестируете снаружи — Elite даёт чистый запрос.
  • API сторонних сервисов с rate-limit по IP — Elite на datacenter работает быстро и распределяет нагрузку.

Утечки за пределами заголовков

Даже если ваш прокси Elite и IP-репутация чистая, реальный IP может утечь другими путями. Главные «дыры»:

DNS leak

Если браузер резолвит домен через системный DNS (то есть DNS-провайдера), DNS-сервер видит ваш реальный IP и куда вы заходите. Решения: SOCKS5 с rDNS, DNS over HTTPS (DoH), или просто прописать DNS-сервер прокси-провайдера.

WebRTC leak

WebRTC в браузере умеет напрямую устанавливать peer-to-peer соединения, минуя любой прокси. Это любимая «дыра» антифрод-сканеров. Решение: отключить WebRTC через about:config в Firefox или расширение в Chrome.

HTTP/3 (QUIC)

QUIC работает поверх UDP, и не все SOCKS5-серверы умеют его проксировать. Часть трафика может уйти мимо прокси через UDP. Решение: либо отключить QUIC в браузере, либо использовать SOCKS5 с поддержкой UDP, либо прокси-софт с принудительной блокировкой не-проксированного трафика (kill switch).

TLS fingerprint (JA3 / JA4)

Серверы умеют идентифицировать клиента по специфическому отпечатку TLS-handshake — JA3 или новый JA4. Стандартный curl и стандартный Python-requests дают характерный отпечаток, который антифрод знает. Здесь прокси не поможет — нужно либо использовать «curl-impersonate» или подобные инструменты, либо реальный браузер.

HTTP/2 fingerprint (Akamai)

Аналогично: порядок и набор HTTP/2 frames в начале сессии — отпечаток клиента. Тоже не лечится прокси.

Browser fingerprint

Canvas, WebGL, набор шрифтов, таймзона, разрешение экрана, аудио — всё это собирается в уникальный отпечаток браузера. Для серьёзной анонимности нужен антидетект-браузер (Multilogin, Dolphin, Octo) и прокси в дополнение к нему.

Итог

Уровень анонимности по HTTP-заголовкам — это техническая характеристика, которую полезно знать, но переоценивать не стоит. Основные принципы:

  • Для HTTP/HTTPS-прокси — берите только Elite. Anonymous = риск, Transparent = бесполезно.
  • Для SOCKS5 — этой характеристики нет, и это уже ставит SOCKS5 на голову выше.
  • Origin IP (datacenter / residential / mobile) важнее уровня анонимности по заголовкам.
  • Закрывайте утечки за пределами прокси — DNS, WebRTC, HTTP/3, TLS-фингерпринт.

Любой прокси из вашего списка можно проверить за 5 секунд: ProxyLab делает реальный запрос через прокси и определяет уровень анонимности автоматически — Elite, Anonymous или Transparent.

Проверить анонимность прокси

Реальный запрос через прокси, парсинг полученных заголовков. Никаких эвристик — только факты.

Открыть чекер