Good Carder
Professional
- Messages
- 938
- Reaction score
- 532
- Points
- 93
От кардера — кардерам. Ты вбиваешь карту, переходишь к оплате — и вместо привычной платёжной формы выскакивает скрипт Cloudflare. Ты видишь пустое окно, вертушку и надпись «Checking your browser...». Через несколько секунд вертушка исчезает, но ты уже всё понял. Карта сожжена, трафик потерян.
В 2027 году Cloudflare Turnstile — это не просто капча. Это многослойная обфусцированная программа, которая проверяет 55 параметров в три этапа и зашифрована настолько, что даже расшифровка её слоёв требует реверс-инжиниринга на уровне VM-инструкций. Вместе с Bot Fight Mode на бесплатных тарифах эта защита превратилась в настоящий фильтр для любителей. Если ты не используешь специальные браузеры и ротацию резидентных прокси, проще завязать.
В этой статье разбираю, что такое Turnstile и Бот Файт Мод, какие детекционные слои они используют, и даю рабочие методы для массового обхода с кодом и чек-листом. Начинаем.
Managed Challenge — самый популярный в 2027 году, именно он чаще всего заканчивается появлением капчи, которую мы привыкли видеть. Но от вертушки Non‑Interactive или от невидимой капчи ты можешь даже не догадаться.
Если какой-то параметр не совпадает — например, вебгл-рендерер заявляет о наличии дорогой видеокарты, но отрисовывает изображение как софтварный рендер — твой скор резко падает. Если ты вообще не умеешь выполнять JS-код (как в requests или cURL), доступ запрещается мгновенно.
Cloudflare прямо указала в документации: «You cannot bypass or skip Bot Fight Mode using the Skip action in WAF custom rules or using Page Rules». Если твой сервер отправляет callback-запросы на сайт с бесплатным тарифом, и у тебя нет возможности предоставить статический IP-адрес, запросы могут быть ошибочно помечены как бот-трафик и заблокированы. Единственный выход — либо отключить Bot Fight Mode (но на бесплатном тарифе он может быть принудительно активирован), либо перейти на платный тариф (где есть Super Bot Fight Mode с гибкими правилами).
Для вбива карты этот режим означает, что даже если ты используешь чистые резидентные прокси и правильные заголовки, Cloudflare всё равно может выкатить челлендж, если твой асинхронный скрипт вызывает страницу оплаты напрямую, а не через последовательность «главная → каталог → товар → оплата».
Как же оставаться незаметным?
В тестах 2026 года Camoufox показала 88,58% успешности против Turnstile-heavy таргетов. Это почти вдвое выше, чем у голого Playwright.
CapSolver поддерживает также невидимую капчу и стоит примерно 0.50–3–3 за тысячу решений.
При использовании токена в форме обязательно отправляй и cf-turnstile-response. Если этого не сделать, сервер проигнорирует платёж.
Но если ты уже получил валидную куку cf_clearance через браузер, curl_cffi может использовать её повторно для быстрых вызовов API.
Затем отправляешь POST-запрос на localhost:8191/v1:
Если через FlareSolverr всё равно вылезает капча, подключи CapMonster — установи переменную CAPTCHA_SOLVER=capmonster.
В 2027 году успешная стратегия обхода выглядит так:
Не жди, что стандартные Playwright или Puppeteer с плагинами переживут встречу с AI Labyrinth. В 2027 году ты должен использовать патченные ядра Chromium, пересаживаться на резидентные прокси и уметь решать капчу через Solver API.
Быстрая памятка на одну строку:
«Старый Playwright‑Stealth умирает на 3-м запросе. Camoufox и Patchright поднимают успех до 95%. Managed Challenge решается через CapSolver или Surfsky. Без резидентных прокси и curl_cffi даже облачные браузеры бесполезны. Бот Файт Мод на бесплатном тарифе не отключается — если твои коллбэки идут без статического IP, готовься к блокировке»
В 2027 году Cloudflare Turnstile — это не просто капча. Это многослойная обфусцированная программа, которая проверяет 55 параметров в три этапа и зашифрована настолько, что даже расшифровка её слоёв требует реверс-инжиниринга на уровне VM-инструкций. Вместе с Bot Fight Mode на бесплатных тарифах эта защита превратилась в настоящий фильтр для любителей. Если ты не используешь специальные браузеры и ротацию резидентных прокси, проще завязать.
В этой статье разбираю, что такое Turnstile и Бот Файт Мод, какие детекционные слои они используют, и даю рабочие методы для массового обхода с кодом и чек-листом. Начинаем.
Часть 1. Turnstile под капотом: архитектура, 55 параметров и Sentinel Challenge
Большинство из нас знает Turnstile как капчу, которая иногда требует нажать галочку, но в подавляющем большинстве случаев незаметна. На самом деле это проактивная система, которая сканирует твоё окружение ещё до того, как ты успел на что-то нажать.1.1. Три режима работы Turnstile
Разработчики сайтов могут выбирать один из трёх режимов:| Режим | UI | Что происходит для скрапера |
|---|---|---|
| Managed (рекомендуемый для защиты) | Невидимый | Может взлететь в Managed Challenge или интерактивную капчу, если твой скор низкий. |
| Non‑Interactive | Кратковременная вертушка («Checking…») | Если пассивные проверки пройдены, токен выдаётся. Если нет — отказ без права взаимодействия. |
| Invisible | Полностью невидимый | Самая жестокая модификация — никакого виджета, просто пассивные проверки, и если ты не прошёл, то доступ запрещён навсегда. |
Managed Challenge — самый популярный в 2027 году, именно он чаще всего заканчивается появлением капчи, которую мы привыкли видеть. Но от вертушки Non‑Interactive или от невидимой капчи ты можешь даже не догадаться.
1.2. Шесть слоёв детекции, которые ты должен знать
| Слой | Что проверяется | Что нужно делать |
|---|---|---|
| IP-репутация | Дата-центр ASN, история злоупотреблений, чёрные списки | Используй резидентные или мобильные прокси с фрод-скоростью <30 |
| TLS-отпечаток (JA3 → JA4) | Шифры, порядок расширений, поддержка TLS 1.3 | Используй curl_cffi или кастомный Chromium, имитирующий реальный браузер |
| HTTP/2 и заголовки | Заголовки, порядок псевдо-заголовков, настройки потока | Отправляй полный набор заголовков реального Chrome в правильном порядке (Accept-Language, Sec-Ch-Ua и т.д.) |
| JavaScript-челлендж | Выполнение JS, API, врем, webGL, canvas | Используй реальный браузер с фулл-JS-движком (не curl_cffi для неинтерактивных челленджей) |
| Поведенческие сигналы | Скорость скролла, движение мыши, время загрузки | Имитируй случайные задержки и человеческую «неидеальность» |
| AI Labyrinth (2025+) | Фейковые honeypot-ссылки | Не переходи по скрытым ссылкам вне viewport и не триггерь невидимые JS-обработчики |
1.3. Reverse-engineering Turnstile 2027: как работает криптопрограмма
В 2026–2027 годах Cloudflare обновил Turnstile до многопоточной обфусцированной VM. Вместо одного бандла JavaScript сервер теперь отдаёт клиенту специальную программу в кодировке base64, которая сначала расшифровывается через XOR с токеном p, а затем выполняется внутри виртуальной машины браузера. Исследователи Buchodi обнаружили, что программа анализирует 55 свойств на трёх слоях:- Слой браузера — разрешение экрана, шрифты, WebGL, манипуляции с DOM, storage.
- Слой сети — заголовки Cloudflare, информация о краевых серверах.
- Слой приложения — на ChatGPT проверяет, отрендерилось ли React-приложение полностью и были ли вызваны все жизненные циклы.
Если какой-то параметр не совпадает — например, вебгл-рендерер заявляет о наличии дорогой видеокарты, но отрисовывает изображение как софтварный рендер — твой скор резко падает. Если ты вообще не умеешь выполнять JS-код (как в requests или cURL), доступ запрещается мгновенно.
Часть 2. Bot Fight Mode и Super Bot Fight Mode — убийцы сервер‑сайд‑коллбэков
Super Bot Fight Mode в 2027 году уже используется на многих бесплатных тарифах Cloudflare. Он автоматически вычисляет ботов и выкатывает им либо JS Challenge, либо Managed Challenge. Однако есть критический нюанс: Bot Fight Mode на бесплатном тарифе невозможно отключить через WAF Custom Rules.Cloudflare прямо указала в документации: «You cannot bypass or skip Bot Fight Mode using the Skip action in WAF custom rules or using Page Rules». Если твой сервер отправляет callback-запросы на сайт с бесплатным тарифом, и у тебя нет возможности предоставить статический IP-адрес, запросы могут быть ошибочно помечены как бот-трафик и заблокированы. Единственный выход — либо отключить Bot Fight Mode (но на бесплатном тарифе он может быть принудительно активирован), либо перейти на платный тариф (где есть Super Bot Fight Mode с гибкими правилами).
Для вбива карты этот режим означает, что даже если ты используешь чистые резидентные прокси и правильные заголовки, Cloudflare всё равно может выкатить челлендж, если твой асинхронный скрипт вызывает страницу оплаты напрямую, а не через последовательность «главная → каталог → товар → оплата».
Как же оставаться незаметным?
Часть 3. Метод 1: Антидетект-браузеры и управляемые браузеры без левых следов
Самый надёжный способ на 2027 год — использовать реальный браузерный движок с кастомными патчами, которые скрывают автоматизацию на низком уровне. Стандартные Playwright + Stealth уже не работают: их находят через перехват CDP-соединений.3.1. Nodriver / Rebrowser‑Patches
Библиотеки nodriver и патчи для Chromium от сообщества rebrowser лечат движок на уровне C++, убирая флаги headless и правя эмуляцию сенсоров. В 2027 году они дают успешность 35–45% против Turnstile — неплохо для low‑cost варианта.
Python:
import asyncio
from nodriver import start
async def main():
browser = await start()
page = await browser.get('https://target-site.com')
await page.wait_for('body', timeout=30000)
print(await page.content())
asyncio.run(main())3.2. Managed Cloud Browsers (Surfsky, Patchright)
Если ты обрабатываешь миллионы запросов в месяц и не хочешь возиться с патчами, используй облачные браузеры. Они поддерживают сохранение сессий (cf_clearance живёт до месяца) и могут отдавать уже решённый челлендж через HTTP API с успешностью 98–100%:
Python:
# Запрос сессии
response = requests.post("https://api.surfsky.io/v1/session", json={
"url": "https://target.com",
"proxy": "residential://...",
"timeout": 60000,
})
session_id = response.json()["session_id"]
# Решение Turnstile
turnstile_response = requests.post("https://api.surfsky.io/v1/turnstile", json={
"session_id": session_id,
"site_key": "0x4AAAAAAAByvC...",
})
print(turnstile_response.json()["token"])3.3. Camoufox и SeleniumBase UC Mode
Если тебе нужен локальный дешёвый вариант, используй SeleniumBase UC Mode. Он запускает браузер в режиме реального пользователя с подменой отпечатков через CDP, но с поддержкой расширений и ручным вводом капчи.
Python:
from seleniumbase import Driver
driver = Driver(uc=True, headed=True)
driver.get("https://target-site.com")
driver.uc_gui_click_cf() # ручное решение капчиВ тестах 2026 года Camoufox показала 88,58% успешности против Turnstile-heavy таргетов. Это почти вдвое выше, чем у голого Playwright.
Часть 4. Метод 2: CAPTCHA Solver API (CapSolver, 2Captcha)
Когда сайт использует Managed Mode и иногда всё-таки показывает капчу, на помощь приходят внешние решалки. CapSolver и 2Captcha умеют извлекать токен Turnstile из виджета и передавать его тебе для инъекции в форму.4.1. CapSolver: быстрый токен Turnstile
Python:
import requests, time
CAPSOLVER_KEY = "ваш_ключ"
TURNSTILE_SITEKEY = "0x4AAAAAAA..."
URL = "https://target.com/payment"
def get_turnstile_token():
task = requests.post("https://api.capsolver.com/createTask", json={
"clientKey": CAPSOLVER_KEY,
"task": {"type": "AntiTurnstileTaskProxyLess",
"websiteURL": URL,
"websiteKey": TURNSTILE_SITEKEY}
}).json()
task_id = task["taskId"]
for _ in range(30):
time.sleep(2)
result = requests.post("https://api.capsolver.com/getTaskResult", json={
"clientKey": CAPSOLVER_KEY, "taskId": task_id}).json()
if result.get("status") == "ready":
return result["solution"]["token"]
raise TimeoutError("Turnstile not solved")
token = get_turnstile_token()
data = {"cf-turnstile-response": token}CapSolver поддерживает также невидимую капчу и стоит примерно 0.50–3–3 за тысячу решений.
4.2. 2Captcha с поддержкой Turnstile
Аналогичный механизм у 2Captcha:
Python:
import twocaptcha
solver = twocaptcha.TwoCaptcha('YOUR_API_KEY')
result = solver.turnstile(sitekey='0x4AAAAAAAByvC31sFG0MSlp', url='https://target.com')
token = result['code']При использовании токена в форме обязательно отправляй и cf-turnstile-response. Если этого не сделать, сервер проигнорирует платёж.
Часть 5. Метод 3: curl_cffi для простых челленджей
curl_cffi — это та самая библиотека, которая подменяет TLS-отпечаток браузера и отправляет запросы с такими же параметрами JA3/JA4, как и Google Chrome. Она работает для первичных пассивных проверок, но против Turnstile неинтерактивного режима и Managed Challenge бессильна, так как не может выполнять JS.
Python:
from curl_cffi import requests
response = requests.get('https://target.com',
impersonate='chrome120',
proxies={'https': 'http://user:pass@proxy:port'})
print(response.cookies.get('cf_clearance'))Но если ты уже получил валидную куку cf_clearance через браузер, curl_cffi может использовать её повторно для быстрых вызовов API.
Часть 6. Метод 4: FlareSolverr — контейнер реального браузера
FlareSolverr запускает внутри Docker полноценный экземпляр undetected-chromedriver, решает Turnstile и возвращает HTML-код вместе с кукой cf_clearance. Это лучший вариант для задач, где нужно обрабатывать много разных сайтов и тебе не нужна ручная кастомизация.
Bash:
docker run -d --name flaresolverr -p 8191:8191 -e LOG_LEVEL=info \
-e CAPTCHA_SOLVER=none ghcr.io/flaresolverr/flaresolverr:latestЗатем отправляешь POST-запрос на localhost:8191/v1:
Python:
response = requests.post("http://localhost:8191/v1", json={
"cmd": "request.get",
"url": "https://target-with-cloudflare.com",
"maxTimeout": 60000,
})
print(response.json()["solution"]["status"]) # 200
print(response.json()["solution"]["cookies"])Если через FlareSolverr всё равно вылезает капча, подключи CapMonster — установи переменную CAPTCHA_SOLVER=capmonster.
Часть 7. OPSEC и чек-лист: как не попасть в Ban List
Перед каждым масштабным вбивом или скрапингом проходи по этим пунктам:- Выбери резидентный или мобильный прокси с фрод-скоростью <30. Дата-центры сгорают на cf_clearance за 5 минут.
- Используй curl_cffi для пассивных проверок, если сайт не требует JS. Для остальных — облачный браузер или Patchright.
- Настрой правильную заголовочную последовательность и User-Agent в антидетекте.
- Добавь задержки (3–5 сек на загрузку страницы, 1–2 сек на ввод данных).
- Придерживайся поведенческой эмуляции: скролл, наведение мыши, хаотичные паузы.
- Сохраняй cf_clearance после первого решения и переиспользуй её в рамках одной сессии.
- Если ты работаешь с бесплатным тарифом Cloudflare, будь готов к тому, что Bot Fight Mode может блокировать твои собственные коллбэки — тестируй заранее.
Резюме
Cloudflare Turnstile и Bot Fight Mode в 2027 году — это многослойная VM-обфусцированная защита, проверяющая 55 свойств браузера, сети и приложения. Managed Challenge — новый стандарт для мерчантов, защищённых Cloudflare, а Non‑Interactive и Invisible действуют смертоносно для скраперов без реального браузера.В 2027 году успешная стратегия обхода выглядит так:
- Camoufox или SeleniumBase UC Mode для средних нагрузок (85–90% успеха).
- CapSolver / 2Captcha для тех случаев, когда вылезает визуальный виджет.
- Пул резидентных прокси с разбросанными по всему миру IP.
- Облачные браузеры (Surfsky) для промышленного масштаба и сохранения сессий.
Не жди, что стандартные Playwright или Puppeteer с плагинами переживут встречу с AI Labyrinth. В 2027 году ты должен использовать патченные ядра Chromium, пересаживаться на резидентные прокси и уметь решать капчу через Solver API.
Быстрая памятка на одну строку:
«Старый Playwright‑Stealth умирает на 3-м запросе. Camoufox и Patchright поднимают успех до 95%. Managed Challenge решается через CapSolver или Surfsky. Без резидентных прокси и curl_cffi даже облачные браузеры бесполезны. Бот Файт Мод на бесплатном тарифе не отключается — если твои коллбэки идут без статического IP, готовься к блокировке»
