|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
16-Май-17 23:13
(7 лет 4 месяца назад, ред. 20-Дек-17 02:07)
https://github.com/ValdikSS/GoodbyeDPI
Программа предназначена для обхода систем глубокого анализа трафика (Deep Packet Inspection) и получения доступа к заблокированным сайтам.
Работает с пассивными (подключенными с помощью оптического сплиттера или с зеркалированием трафика) и активными (подключенными последовательно) DPI.
Предназначена для Windows 7, 8, 8.1 и 10. Для запуска требуются права администратора. Как использовать программу
Скачайте последнюю версию со страницы релизов и запустите.
Если у вас GoodbyeDPI 0.2.3 на Windows 7 нужно ставить обновление безопасности https://www.microsoft.com/ru-RU/download/details.aspx?id=46148 либо такое https://www.catalog.update.microsoft.com/Search.aspx?q=kb4474419
Для лаунчера на 7-ке тоже актуально.
Поддерживаются следующие параметры:
Код:
Usage: goodbyedpi.exe [OPTION...]
-p block passive DPI
-r replace Host with hoSt
-s remove space between host header and its value
-m mix Host header case (test.com -> tEsT.cOm)
-f [value] set HTTP fragmentation to value
-k [value] enable HTTP persistent (keep-alive) fragmentation and set it to value
-n do not wait for first segment ACK when -k is enabled
-e [value] set HTTPS fragmentation to value
-a additional space between Method and Request-URI (enables -s, may break sites)
-w try to find and parse HTTP traffic on all processed ports (not only on port 80)
--port [value] additional TCP port to perform fragmentation on (and HTTP tricks with -w)
--dns-addr [value] redirect UDP DNS requests to the supplied IP address (experimental)
--dns-port [value] redirect UDP DNS requests to the supplied port (53 by default)
--dns-verb print verbose DNS redirection messages
--blacklist [txtfile] perform HTTP tricks only to host names and subdomains from
supplied text file. This option can be supplied multiple times. -1 -p -r -s -f 2 -k 2 -n -e 2 (most compatible mode, default)
-2 -p -r -s -f 2 -k 2 -n -e 40 (better speed for HTTPS yet still compatible)
-3 -p -r -s -e 40 (better speed for HTTP and HTTPS)
-4 -p -r -s (best speed)
При запуске программы без параметров активируются опции, направленные на максимальную совместимость с провайдерами в угоду скорости.
Чтобы понять, можно ли вообще обойти DPI вашего провайдера программой, запустите скрипт "3_all_dnsredir_hardcore.cmd", и попробуйте зайти на заблокированные сайты. Если заблокированные сайты стали открываться, попробуйте запустить "1_russia_blacklist.cmd". Если этот файл не работает, используйте "1_russia_blacklist_dnsredir.cmd".
Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 -a Как работает программа
Большинство пассивных DPI отправляют HTTP-перенаправление (301 Redirect) при попытке зайти на заблокированный сайт. Поле IP Identification пакетов, отправляемых пассивным DPI, всегда равно 0x0000 или 0x0001 (актуально для провайдеров РФ). Такие пакеты и блокирует GoodbyeDPI.
Активные DPI перехитрить труднее. На данный момент поддерживаются следующие опции:
- Фрагментация первых пакетов на TCP-уровне
- Замена заголовка Host на hoSt
- Удаление пробела между именем параметра Host и его значением (Host:rutr.life вместо Host: rutr.life)
- Добавление дополнительного пробела между методом HTTP (GET, POST, и т.д.) и URI
- Изменение регистра значения заголовка Host (rUtRaCkEr.rU)
Эти методы не должны влиять на работоспособность веб-сайтов, т.к. они полностью соответствуют стандарту TCP и HTTP, но их достаточно для противодействия классификации трафика и обхода цензуры. Добавление дополнительного проблела может влиять на работоспособность веб-сайтов, хоть и полностью соответствует спецификации стандарта HTTP/1.1 (см. 19.3 Tolerant Applications). Преимущества программы
- Работает автономно, без обращения к какому-либо серверу
- Работает на уровне системы, с браузерами, торрент-клиентами и любым другим ПО
- Не требует настройки
Похожие утилиты
zapret от kx77 (для Linux).
|
|
G100M
Стаж: 16 лет 5 месяцев Сообщений: 63
|
G100M ·
16-Май-17 23:23
(спустя 10 мин.)
А проверить что и как вас блокирует, можно вот этим: https://github.com/ValdikSS/blockcheck/releases
|
|
Dicrock
Стаж: 12 лет 4 месяца Сообщений: 1060
|
Dicrock ·
17-Май-17 03:51
(спустя 4 часа, ред. 17-Май-17 03:51)
Вах, полноценный релиз, да ещё на гите ValdikSS, всё же поддержку старых ОС вы решили не внедрять ? kx77 писал что это возможно сделать на базе winpcap и предлагал дать сорцы для написания драйвера в соседней теме.
|
|
kx77
Стаж: 11 лет 9 месяцев Сообщений: 680
|
kx77 ·
17-Май-17 08:29
(спустя 4 часа, ред. 17-Май-17 08:29)
Dicrock писал(а):
73125456Вах, полноценный релиз, да ещё на гите ValdikSS, всё же поддержку старых ОС вы решили не внедрять ? kx77 писал что это возможно сделать на базе winpcap и предлагал дать сорцы для написания драйвера в соседней теме.
Не надо перевирать. Про winpcap писал другой. Winpcap и firewall hook не могут изменять или добавлять пакеты в очередь или заворачивать TCP, так что они не могут повторить функции этой проги
Боюсь, придется делать полноценный NDIS intermediate driver или адаптировать что-то готовое на эту же тему
|
|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
17-Май-17 10:06
(спустя 1 час 37 мин., ред. 17-Май-17 10:06)
Dicrock
Я и не собирался, и не понимаю вашего рвения. Windows XP снята с поддержки, писать отдельный код для устаревшей ОС, которой пользуется очень небольшой процент пользователей, не только контрпродуктивно, но и ни в коем случае нельзя, иначе люди будут продолжать пользоваться уязвимыми и неподдерживаемыми ОС при наличии альтернатив.
|
|
Dicrock
Стаж: 12 лет 4 месяца Сообщений: 1060
|
Dicrock ·
17-Май-17 11:18
(спустя 1 час 11 мин., ред. 17-Май-17 11:18)
kx77, пардон, перепутал, если у вас получится сваять что-то подобное было бы замечательно.
Код:
устаревшей ОС, которой пользуется очень небольшой процент пользователей
Эту "устаревшую ОС" использует прорва людей, вы бы хоть статистику поглядели.
Код:
не только контрпродуктивно, но и ни в коем случае нельзя, иначе люди будут продолжать пользоваться уязвимыми и неподдерживаемыми ОС при наличии альтернатив.
По вашей логике выходит, что всю маломощную технику надо выкидывать и покупать новую, дабы обеспечить работоспособность новых окон без уязвимостей. Старые форточки тем и хороши, что "летают" на старых машинах (а новые их ставят на колени).
Ну а вопрос эксплойтов мы уже обсуждали - вопрос, как они будут инициализированы, ежели на машине со старой ОС воткнут firewall, антивирус и песочница, так и остался без ответа.
p.s. ValdikSS, вот зачем было давать повод для холивара ? Ведь можно было кратко ответить "Я и не собирался, и не понимаю вашего рвения. "
|
|
DimonCJ
Стаж: 17 лет 2 месяца Сообщений: 45
|
DimonCJ ·
17-Май-17 12:17
(спустя 59 мин.)
Кстати аудитория пользователей Windows XP на данном сайте составляет всего 5% (примерно 27 000 компьютеров)
https://www.liveinternet.ru/stat/rutr.life/oses.html?id=14;id=6;id=3;id=9;id=7;date=2017-05-16
|
|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
17-Май-17 12:35
(спустя 18 мин., ред. 17-Май-17 12:35)
Dicrock
скрытый текст
Dicrock писал(а):
73126483Эту "устаревшую ОС" использует прорва людей, вы бы хоть статистику поглядели.
Именно поэтому нужно избавляться от нее, как в свое время избавлялись от Internet Explorer 6.
Пользователей Windows XP меньше, чем пользователей Linux (без учета Android). Сужу по сайту с 200000+ уникальными посетителями в сутки.
Цитата:
По вашей логике выходит, что всю маломощную технику надо выкидывать и покупать новую, дабы обеспечить работоспособность новых окон без уязвимостей.
Совершенно не обязательно. Я пользуюсь компьютером 10-летней давности, на нем запускаются все текущие ОС Windows и Linux.
Цитата:
Ну а вопрос эксплойтов мы уже обсуждали - вопрос, как они будут инициализированы, ежели на машине со старой ОС воткнут firewall, антивирус и песочница, так и остался без ответа.
Он остался без ответа не потому, что мне нечего сказать, а чтобы не захламлять тему обсуждениями на отстроенные темы. Эта тема тоже не подходит для обсуждения Windows XP. Абсолютно нормально использовать устаревшие системы для каких-то узких целей, без подключения к интернету (я сам пользуюсь Windows 98 и роутерами с Linux 2.4), но неприемлемо ими пользоваться для повседневных задач в интернете. Дело в меньшей степени в уязвимостях сетевого и системного уровня (с ними, скорее всего, справится антивирус и файрволл), а в устаревших версиях программ, которыми вынуждены пользоваться люди с XP. Многие современные браузеры уже не поддерживают XP, придется пользоваться устаревшими браузерами с известными уязвимостями. Других программ это тоже касается. В ядре отсутствуют почти все механизмы защиты программ, которые есть в более новых ОС.
Предлагаю больше не продолжать диалог на тему устаревших ОС. Поддержки XP, как и 2000, и 98, не будет.
|
|
kx77
Стаж: 11 лет 9 месяцев Сообщений: 680
|
kx77 ·
17-Май-17 14:03
(спустя 1 час 27 мин., ред. 17-Май-17 14:03)
На устаревшую технику я бы поставил Linux.
Играть на ней все равно уже не получится. Для всего остального требовательность меньше и современный код
И сразу избавляетесь от недостатка функциональных возможностей windows по поводу управления сетевым трафиком
|
|
День знаний
Стаж: 10 лет 1 месяц Сообщений: 2125
|
День знаний ·
18-Май-17 19:07
(спустя 1 день 5 часов)
DimonCJ писал(а):
73126703всего 5% (примерно 27 000 компьютеров)
важна не средняя температура по больнице - а какие компы у релизеров и долгораздающих сидов - а вот тут картинка будет совсем другая...
kx77 писал(а):
73127207я бы поставил Linux.
чем на л-кс обрабатывать сканы???
не говоря уж о том, чтобы подключить старый сканер...
|
|
peresolil
Стаж: 14 лет 6 месяцев Сообщений: 1629
|
peresolil ·
18-Май-17 19:30
(спустя 23 мин., ред. 18-Май-17 22:05)
|
|
sega++
Стаж: 15 лет 7 месяцев Сообщений: 491
|
sega++ ·
18-Май-17 20:14
(спустя 43 мин., ред. 18-Май-17 20:14)
|
|
Falcon.mk2
Стаж: 16 лет 11 месяцев Сообщений: 54
|
Falcon.mk2 ·
19-Май-17 18:32
(спустя 22 часа, ред. 19-Май-17 18:32)
Поидее программа должна и на Vista работать т.к. Divert использует Windows Filtering Platform который доступен начиная с Windows Vista.
Но я присоединяюсь к тому, что устаревшее ПО не следует использовать (и обновления еще не забывать ставить).
Автору творческих успехов
|
|
comfortroid
Стаж: 12 лет 5 месяцев Сообщений: 25
|
comfortroid ·
22-Май-17 18:34
(спустя 3 дня, ред. 22-Май-17 19:11)
Это безусловно лучший из всех способов обхода блокировок для Windows-систем! Авторам огромнейший респект! P.S. Проверено на примере Ростелеком и МТС - полет нормальный с http и https.
|
|
Dicrock
Стаж: 12 лет 4 месяца Сообщений: 1060
|
Dicrock ·
22-Май-17 18:40
(спустя 6 мин.)
ValdikSS, если не затруднит - в случае обновоения утилиты, можно указывать новую версию в заголовке и шапке ?
|
|
XtenD-Vas
Стаж: 12 лет 5 месяцев Сообщений: 50
|
XtenD-Vas ·
22-Май-17 23:51
(спустя 5 часов)
Dicrock писал(а):
73162515ValdikSS, если не затруднит - в случае обновоения утилиты, можно указывать новую версию в заголовке и шапке ?
Актуальную версию можно узнать в релизах на гитхабе : https://github.com/ValdikSS/GoodbyeDPI/releases
|
|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
23-Май-17 14:41
(спустя 14 часов, ред. 23-Май-17 14:41)
Добавил новую опцию -a, вставляющую дополнительный пробел между HTTP-методом и URL, вроде:
Код:
GET /index.html HTTP/1.1
Обходит DPI следующих провайдеров, которые раньше не обходились для HTTP:
- Билайн
- МТС Санкт-Петербург (Ланск Телеком)
- Мегафон (мобильный)
- Дом.ру (InterZet)
- Yota
- Смайл (Инфолайн)
- Электронный Город (Новотелеком)
- Телеком Центр
- Skynet
Этот способ соответствует стандарту HTTP/1.1, но все же нарушает работоспособность некоторых сайтов. Пока что я заметил неработоспособность только рекламных сетей.
|
|
UglyJJ
Стаж: 14 лет 11 месяцев Сообщений: 90
|
UglyJJ ·
23-Май-17 18:03
(спустя 3 часа)
Работает! Огромное спасибо! Очень компактное, изящное решение.
|
|
Natsuru-san
Стаж: 15 лет 2 месяца Сообщений: 459
|
Natsuru-san ·
25-Май-17 19:42
(спустя 2 дня 1 час)
Хорошая вещь, но у меня провайдер блочит по ип адресу, поэтому не везёт мне...
|
|
comfortroid
Стаж: 12 лет 5 месяцев Сообщений: 25
|
comfortroid ·
25-Май-17 20:30
(спустя 47 мин., ред. 12-Июн-17 16:34)
Natsuru-san писал(а):
73180925Хорошая вещь, но у меня провайдер блочит по ип адресу, поэтому не везёт мне...
Выкиньте в топку такого провайдера, который ограничивает своих абонентов в большей степени, чем рекомендует Роскомпозор.
|
|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
25-Май-17 20:55
(спустя 24 мин.)
Natsuru-san
Скоро будет эффективная программа и для обхода блокировок по IP, которая будет проксировать только исходящий трафик, а входящий будет напрямую приходить с запрашиваемого сайта. Подождите немного.
|
|
Falcon.mk2
Стаж: 16 лет 11 месяцев Сообщений: 54
|
Falcon.mk2 ·
26-Май-17 14:54
(спустя 17 часов)
Кстати, а можно, я этот код встрою в свой UI?
|
|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
26-Май-17 15:52
(спустя 57 мин.)
Falcon.mk2
Вы можете делать все, что разрешает лицензия Apache 2.0.
|
|
Natsuru-san
Стаж: 15 лет 2 месяца Сообщений: 459
|
Natsuru-san ·
27-Май-17 18:25
(спустя 1 день 2 часа, ред. 30-Май-17 11:35)
ValdikSS писал(а):
73181397Natsuru-san
Скоро будет эффективная программа и для обхода блокировок по IP, которая будет проксировать только исходящий трафик, а входящий будет напрямую приходить с запрашиваемого сайта. Подождите немного.
О, спасибо, про это в переписке по скайпу вы мне не говорили).
comfortroid писал(а):
73181222
Natsuru-san писал(а):
73180925Хорошая вещь, но у меня провайдер блочит по ип адресу, поэтому не везёт мне...
Выкиньте в топку такого провайдера, который ограничивает своих абонентов в большей степени, чем рекомендует Роскомпозор.
Спасибо за ссылку, попробовал написать письмо провайдеру, сославшись на эти рекомендации, посмотрим что ответят.
|
|
align86
Стаж: 15 лет 1 месяц Сообщений: 9
|
align86 ·
07-Июн-17 20:34
(спустя 11 дней)
ValdikSS писал(а):
73181397Natsuru-san
Скоро будет эффективная программа и для обхода блокировок по IP, которая будет проксировать только исходящий трафик, а входящий будет напрямую приходить с запрашиваемого сайта. Подождите немного.
Где можно отслеживать ее появление?
|
|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
07-Июн-17 21:31
(спустя 56 мин.)
align86
Нигде. Пока нет времени заниматься.
|
|
xc62x
Стаж: 16 лет 1 месяц Сообщений: 76
|
xc62x ·
08-Июн-17 13:39
(спустя 16 часов)
ValdikSS писал(а):
73166958Добавил новую опцию -a, вставляющую дополнительный пробел между HTTP-методом и URL
Еще можно добавить обход через User-Agent, он должен быть менее 6 символов. Работает на Дом.ру.
|
|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
09-Июн-17 08:48
(спустя 19 часов)
xc62x
Подмена User-Agent все же инвазивна. Вы можете вручную изменить User-Agent вашего браузера.
|
|
xc62x
Стаж: 16 лет 1 месяц Сообщений: 76
|
xc62x ·
09-Июн-17 12:33
(спустя 3 часа)
ValdikSS
Как сильно влияет фрагментация пакетов на скорость?
Может, стоит сделать утилиту в виде прокси, чтоб не оказывать воздействие на другие программы?
|
|
ValdikSS
Стаж: 16 лет 10 месяцев Сообщений: 525
|
ValdikSS ·
09-Июн-17 15:28
(спустя 2 часа 54 мин.)
xc62x
Будет чуть большая задержка в самом начале загрузки сайта, если пинг до него высокий. Фрагментация выполняется только для первого пакета в TCP-сессии, последующие пакеты отправляются без изменений.
|
|
|