|
|
|
Dicrock
Стаж: 12 лет 6 месяцев Сообщений: 1090
|
Dicrock ·
07-Ноя-24 17:20
(21 день назад)
Ложная тревога ? Прилетел алерт на релизы с билдами 111,112,113, ссылок на которые уже нет. Это чего было O_o ? Я маленько подвис, памятую, что вроде свежий релиз был ревизии 67 и до 111 ещё очень далеко. А раз такой резкий скачок, то были произведены радикальные изменения ...
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
08-Ноя-24 12:08
(спустя 18 часов, ред. 08-Ноя-24 12:08)
Это тестирование сборки через github actions.
---------------
release 68
Удалены binaries. Binaries теперь только в релизах, собираемых через github actions.
Русская документация переведена в markdown.
nfqws,tpws: альтернативное использование знака '$' для чтения параметров запуска из файла :$<config_file>
uninstall_easy.sh: предложение удалить зависимости на openwrt
install_easy.sh: предложение скачивать хостлисты в режиме фильтрации autohostlist
Багфиксы
На традиционных *nix платформах по-прежнему можно использовать основную репу без бинариков. Их можно собрать самому, имея `cc`, `make` и необходимые dev пакеты : `zlib1g-dev libcap-dev libnetfilter-queue-dev`. `install_easy.sh` при отсутствии бинариков сам запустит make. Но установка dev пакетов и компилятора - на вас.
Так же актуализирована и дока по сборке на openwrt под SDK в docs/compile
|
|
|
|
Ezrah
Стаж: 17 лет Сообщений: 466
|
Ezrah ·
08-Ноя-24 13:53
(спустя 1 час 44 мин.)
Сегодня бандл для винды с ютубом стал работать ограниченно (пресет россия-автохостлист), а именно появляется сообщение "Нет интернет-соединения", после перезагрузки страницы видео воспроизводится полноценно, но комментарии к нему не загружаются.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
08-Ноя-24 13:58
(спустя 5 мин.)
Ezrah писал(а):
86956571Сегодня бандл для винды с ютубом стал работать ограниченно (пресет россия-автохостлист), а именно появляется сообщение "Нет интернет-соединения", после перезагрузки страницы видео воспроизводится полноценно, но комментарии к нему не загружаются.
Гарантий обхода нет. Ситуация может меняться. Это не таблетка. Здесь для вас стратегию и указания что где поправить никто искать не будет.
|
|
|
|
Dicrock
Стаж: 12 лет 6 месяцев Сообщений: 1090
|
Dicrock ·
08-Ноя-24 16:07
(спустя 2 часа 8 мин.)
Последние дня 4 ютуб на воспроизведение стримов работает с большим стартовым лагом или вообще не работает. Походу вариант с гугловским client-hello больше не катит и надо подбирать альтернативную стратегию (и обновлять бинари) т.к. РКН явно натаскал свои ТСПУ на этот трюк.
|
|
|
|
dad1979
Стаж: 18 лет 5 месяцев Сообщений: 384
|
dad1979 ·
08-Ноя-24 17:23
(спустя 1 час 15 мин.)
Dicrock
У меня сегодня была какая-то аномалия - как будто со включенным tpws YT тормозил(прям как с замедлением), а без него - наоборот  Если прямо во время воспроизведения включить tpws - то никак не влияло, только на старте как будто. Но вроде прошло, теперь все как обычно: сами видосы стартуют со второго раза часто, но зато потом идут нормально. Это все на телевизоре, tpws(старая версия) установлен на роутере keenetic. Может какие-то глюки приложения просто.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
08-Ноя-24 17:28
(спустя 5 мин., ред. 08-Ноя-24 17:28)
Код:
--filter-udp=443 --hostlist=/opt/zapret-lists/list-youtube.txt --dpi-desync=fake --dpi-desync-repeats=3 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --new
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=5 <HOSTLIST_NOAUTO> --new
--hostlist=/opt/zapret-lists/list-youtube.txt --dpi-desync=fake,split2 --dpi-desync-repeats=8 --dpi-desync-fooling=datanoack --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --new
--dpi-desync=fake,split2 --dpi-desync-repeats=3 --dpi-desync-fooling=datanoack <HOSTLIST>
На 2 провах такое все еще работает.
Если посмотреть на F12, то там периодически NS_BINDING_ABORTED на разных GGC.
Но если попробовать CURL-ом долбануться на эти URL, ошибки нет.
Значит может быть 2 варианта. Либо это хрень по QUIC, который на одном их моих провайдеров полностью зарезан, либо сам сервер бросает конект, потому что ему не дают вылезть дальше за содержимым видео
Да, немного из-за биндинг абортед подтупливает иногда, но когда найдет рабочий GGC и качнет с него, все нормализуется.
Про телики речи нет, только про броузер.
Еще пришлось играться с repeats, потому что на некоторых GGC одного репита мало. То работает, то виснет , если курлом дергать. Опытным путем дошел до этих значений репита, когда все курлы срабатывают.
|
|
|
|
vlad_ns
Стаж: 14 лет 9 месяцев Сообщений: 1716
|
vlad_ns ·
09-Ноя-24 10:49
(спустя 17 часов)
Вот тут как-то спрашивал про не работающий ютуб. Я понаблюдал некоторое время, получается такая картина. В течении суток, несколько раз перестаёт загружаться их главная страница, точнее грузится очень долго, как будто не используется обход. Проходит какое-то время и всё само нормализуется, при этом никаких изменений в работу nfqws я не вношу. Интересно, это какие-то новые способы со стороны РКН? Почему тогда они временные? Или какие-то неполадки в сетях? Остальные блоченые сайты, продолжают работать. Ну и сам ютуб через тор/прокси в этот момент тоже работает.
|
|
|
|
Алекс Бывалый
Стаж: 15 лет 2 месяца Сообщений: 617
|
Алекс Бывалый ·
09-Ноя-24 14:19
(спустя 3 часа)
vlad_ns писал(а):
86960637Вот тут как-то спрашивал про не работающий ютуб. Я понаблюдал некоторое время, получается такая картина. В течении суток, несколько раз перестаёт загружаться их главная страница, точнее грузится очень долго, как будто не используется обход. Проходит какое-то время и всё само нормализуется, при этом никаких изменений в работу nfqws я не вношу. Интересно, это какие-то новые способы со стороны РКН? Почему тогда они временные? Или какие-то неполадки в сетях? Остальные блоченые сайты, продолжают работать. Ну и сам ютуб через тор/прокси в этот момент тоже работает.
Новые тесты? Удочку закидывают, быть может. 
|
|
|
|
vlad_ns
Стаж: 14 лет 9 месяцев Сообщений: 1716
|
vlad_ns ·
10-Ноя-24 12:43
(спустя 22 часа, ред. 10-Ноя-24 12:43)
Алекс Бывалый писал(а):
86961594Новые тесты? Удочку закидывают, быть может.
Как говорится, хз, месяца 1,5-2 уже так. Со вчерашнего дня вообще не работает.
blockcheck выдаёт для ютуб не рабочие стратегии, я понимаю что автор пишет, что найденные значения по прежнему ничего не гарантируют. Просто в своей заготовке я буквально поменял split2 на disorder2 и он заработал, остальные (почти) комбинации для "--dpi-desync=" не работали. При этом, если посмотреть лог блокчека, то такой вариант там тоже есть и даже с подбором других параметров в придачу к этому. Но вот в финале выдаются другие параметры, nfqws --dpi-desync=split2 --dpi-desync-split-tls=sni, а для ipv6 даже обход не нужен, гм. Ни в коем случае не хочу критиковать автора, просто может что-то можно улучшить? Ещё сообщение "could not read /opt/nfq/files/fake/tls_clienthello_iana_org.bin" почему выдаётся? Файлы на месте, блокчек запускается от рута.
В блокчеке можно сделать, если в ходе проверки получаем AVAILABLE то именно это проверить ещё больше раз (указать сколько)? Или это будет не правильный ход?
|
|
|
|
Vladik-polosatik
Стаж: 13 лет 9 месяцев Сообщений: 719
|
Vladik-polosatik ·
10-Ноя-24 12:46
(спустя 2 мин., ред. 10-Ноя-24 12:46)
vlad_ns писал(а):
В блокчеке можно сделать, если в ходе проверки получаем AVAILABLE то именно это проверить ещё больше раз (указать сколько)? Или это будет не правильный ход?
Именно так.
Никогда не ориентируйтесь в Блокчеке на SUMMARY (РЕЗУЛЬТАТ). Он шляпу часто выдает с тем же wssize.
Мотайте и смотрите сам процесс Блокчека и копируйте ВСЕ значения с пробиванием — надписью !!! AVAILABLE!!! (ДОСТУПНО/ПРОБИВАЕТ).
Выпишите все стратегии с такой надписью в Блокнот — и затем по очереди просто подставляйте с проверкой в браузере заблокированных сайтов. Только все разом стратегии в пресет не нужно копировать, по очереди каждую строчку стратегии нужно тестировать.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
10-Ноя-24 15:23
(спустя 2 часа 37 мин., ред. 10-Ноя-24 15:23)
Цитата:
Ещё сообщение "could not read /opt/nfq/files/fake/tls_clienthello_iana_org.bin" почему выдаётся? Файлы на месте, блокчек запускается от рута.
nfqws/tpws сбрасывают привилегии. вероятно стоит chmod слишком злобный на путь
blockcheck проверят только конкретный домен. сайт может подтягивать с других и по другому протоколу. без F12 в броузере с включенным показом протокола говорить не о чем
wssize в суммари никогда не вылезет, если нашлось что-то без него
|
|
|
|
vlad_ns
Стаж: 14 лет 9 месяцев Сообщений: 1716
|
vlad_ns ·
10-Ноя-24 16:40
(спустя 1 час 17 мин., ред. 10-Ноя-24 16:40)
kx77 писал(а):
86966667сайт может подтягивать с других и по другому протоколу. без F12 в броузере с включенным показом протокола говорить не о чем
Протокол один, http/s, остальное не проходит через локальный прокси. По F12, ну т.к. ничего не загружается, там в стадии запроса и весит, т.е. кроме запроса к www.youtube.com там ничего нет.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
10-Ноя-24 18:08
(спустя 1 час 28 мин., ред. 10-Ноя-24 18:08)
curl тоже висит с той же системы, что и броузер ?
если блок выдал available, значит curl с той системы, где запущен блок, сработал. это факт.
но стратегия может быть неустойчивой или может не работать обход за роутером, потому что плохо настроено, используется datanoack на iptables и по другим причинам
надо брать nfqws на роутере и ставить в дебаг и смотреть что он творит
|
|
|
|
vlad_ns
Стаж: 14 лет 9 месяцев Сообщений: 1716
|
vlad_ns ·
13-Ноя-24 20:10
(спустя 3 дня, ред. 13-Ноя-24 22:48)
У меня роутер на линукс (арч), все клиенты вин10, работают все через сквид (80, 2710, 6969, 443) прозрачно (когда прокси не прописан в их настройках), нужен мне только для этого, плюс ещё правила для таких устройств, которые не хотят чтоб их трафик фильтровался: телики, не мои личные смартфоны (родственников) и т.п. Блокчек я запускаю на роутере, предварительно остановив nfqws. Кстати, после того моего сообщения, когда после смены стратегии вдруг заработало. Хотя в целом так же осталось, может перестать работать, потом (в тот же вечер) вдруг начнёт. Попробовал я те стратегии, которые на двух проверках (из логов блокчека), выдали available, только на одной "--dpi-desync=syndata,split2 --wssize 1:6" (из 20 примерно проверенных), в окне браузера я увидел название youtube, но страница продолжала "загружаться". Ещё в какой-то такой момент, когда всё (заблоченое) стало плохо работать, запустил на проверку блокчек и получил полностью unavailable. Но, через какое-то время всё опять заработало с прежними стратегиями. Но с ютубом, такой конфуз намного чаще встречается. Блокчек из win-bundle можно с так же использовать, для подбора стратегий для nfqws? А прокси на роутере тогда надо останавливать? Как такие сложные стратегии подбираются? У меня там буквально две опции, не считая порта и протокола.
|
|
|
|
general_alias
Стаж: 15 лет 6 месяцев Сообщений: 78
|
general_alias ·
14-Ноя-24 16:47
(спустя 20 часов, ред. 14-Ноя-24 16:47)
vlad_ns писал(а):
86981038У меня роутер на линукс (арч)
x86 чтоли? а чё за проц и сетевухи? у меня летом i350 t4 выгорела в сезон грозы, линк апается только на 10мбит, а 100мбит и гигабит ёк(видимо проц сетевухи поджарило частично) мониторю всякие там лохито, но там завалено всё гавёнными китайскими рефабами... кароч из оригинала карты на броадкоме от всяких делов и хп. тот-же алик\озон из i350 на фото одно, а присылают гамнорефаб  уже 2 штуки взад отправил китайцам. Приезжала под видом i350 даже поделка на обычном тухлом реалтеке с pcie хабом который разделял один гигабитный порт реалтека на 4 порта... лютое гамно кароч
vlad_ns писал(а):
86981038запустил на проверку блокчек и получил полностью unavailable
возможно надо к самому блокчеку самопальный фейк прикрутить, стоковые роском-забор банит регулярно (по крайней мере у меня так), вероятно ваш случай аналогичный, PKTWS_EXTRA поможет если это так как и в моём случае.
vlad_ns писал(а):
Как такие сложные стратегии подбираются?
и чё тут сложного то? по сути конфиг остался таким-же как в августе до мультистратегий и кастомных бинарников для фейка, просто bolvan "причесал" всё это хозяйство и дал возможность офигенной тонкой настройки тех капризных сайтов которые не хотят дуриться усреднёным конфигом или дают ощутимые негативные побочки при дурении "ящика с гавном" пробиваясь к остальным низясайтам\сервисам.
|
|
|
|
vlad_ns
Стаж: 14 лет 9 месяцев Сообщений: 1716
|
vlad_ns ·
15-Ноя-24 19:45
(спустя 1 день 2 часа, ред. 15-Ноя-24 19:45)
Попробовать блокчек под виндовс, там вместо nfqws winws. Это почти тоже самое? В общим, разницы по результатам я не заметил. Финальная стратегия не подходит и найденные available по 2 раза (выбирал 2 попытки), тоже не подходят, все я конечно не проверил, только выборочно из похожих, полученные стратегии использовал для nfqws, т.е. уже на роутере. В этом режиме блокчек тестирует долго, ~1,5 часа и может случится что всё в тому времени само исправиться и срабатывают предыдущие настройки. Вообще, в эти моменты, когда такой конкретный отвал, ничего не помогает кроме проксирования естественно. Такое впечатление то ли там что-то с тспу происходит, то ли ещё какие-то проблемы.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
16-Ноя-24 19:38
(спустя 23 часа)
Блокчек под windows запускается под cygwin шеллом. Это тот же самый блокчек.
В нем есть части кода специально для cygwin , как и для каждой платформы. Но они минимальны.
Основной код один и тот же, файл один и тот же
|
|
|
|
vlad_ns
Стаж: 14 лет 9 месяцев Сообщений: 1716
|
vlad_ns ·
17-Ноя-24 13:06
(спустя 17 часов, ред. 17-Ноя-24 13:06)
Правильно ли я понимаю, если:
скрытый текст
--filter-l3=ipv4 --filter-tcp=$HTTPS --dpi-desync=fake,disorder2 --dpi-desync-ttl=2 --dpi-desync-fooling=none --hostlist=/etc/nfqws/zapret-hosts.txt --new
--filter-l3=ipv6 --filter-tcp=$HTTPS --dpi-desync=fake,disorder2 --dpi-desync-ttl=2 --dpi-desync-fooling=none --hostlist=/etc/nfqws/zapret-hosts.txt --new
--filter-l3=ipv4 --filter-tcp=$HTTPS --dpi-desync=fake,split --dpi-desync-ttl=2 --dpi-desync-fooling=none --hostlist=/etc/nfqws/zapret-hosts.txt --new
--filter-l3=ipv6 --filter-tcp=$HTTPS --dpi-desync=fake,split --dpi-desync-ttl=2 --dpi-desync-fooling=none --hostlist=/etc/nfqws/zapret-hosts.txt
то применяются оба способа дурения последовательно, а не какой-то, который в данный момент срабатывает?
Не совсем по теме, переносы строк в переменных воспринимаются нормально?
скрытый текст
STRAT_2="
--filter-l3=ipv4 --filter-tcp=$HTTPS --dpi-desync=fake,disorder2 --dpi-desync-ttl=2 --dpi-desync-fooling=none --hostlist=/etc/nfqws/zapret-hosts.txt --new
--filter-l3=ipv6 --filter-tcp=$HTTPS --dpi-desync=fake,disorder2 --dpi-desync-ttl=2 --dpi-desync-fooling=none --hostlist=/etc/nfqws/zapret-hosts.txt --new
--filter-l3=ipv4 --filter-tcp=$HTTPS --dpi-desync=fake,split --dpi-desync-ttl=2 --dpi-desync-fooling=none --hostlist=/etc/nfqws/zapret-hosts.txt --new
--filter-l3=ipv6 --filter-tcp=$HTTPS --dpi-desync=fake,split --dpi-desync-ttl=2 --dpi-desync-fooling=none --hostlist=/etc/nfqws/zapret-hosts.txt --new"
STRAT_3="
--filter-l3=ipv4 --filter-tcp=$HTTP --dpi-desync=fake --dpi-desync-ttl=5 --hostlist=/etc/nfqws/zapret-hosts.txt --new
--filter-l3=ipv6 --filter-tcp=$HTTP --dpi-desync=fake --dpi-desync-ttl=5 --hostlist=/etc/nfqws/zapret-hosts.txt"
Просто смотрю что итоговая строка формируется нормально, не нужно обратные слэши ставить перед переносом строки.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
19-Ноя-24 19:18
(спустя 2 дня 6 часов, ред. 19-Ноя-24 19:18)
Последовательно ничего не применяется. Работа идет всегда только по одному выбранному профилю по каждому пакету.
Повторы с ipv4 и ipv6 не дают ничего. Надо убирать повторы и убирать --filter-l3 или писать ipv4,ipv6.
Переносы - да, нормально.
------------------
### zapret v69
* nfqws,tpws : поддержка сплита на нескольких позициях : `multisplit` и `multidisorder`
* nfqws : переименование `split` => `fakedsplit` , `disorder` => `fakeddisorder`. старые варианты остаются как синонимы.
* nfqws : депрекация `--dpi-desync-split-http-req`, `--dpi-desync-split-tls`. старые параметры добавляют split позиции к списку.
* nfqws : `split2` и `disorder2` становятся синонимами `multisplit` и `multidisorder`. сохраняется автоматическая split позиция 2, если не указано `--dpi-desync-split-pos`.
* nfqws : отмена `seqovl` без отмены desync в случае превышения MTU. только для Linux.
* nfqws : `seqovl` берет позиционные маркеры для disorder и только число для split
* tpws : депрекация `--split-http-req` , `--split-tls`. старые параметры добавляют split позиции к списку.
* tpws : `--tlsrec` берет позиционные маркеры, а не только фиксированные смещения
* tpws : депрекация `--tlsrec-pos`. старый параметр создает абсолютный положительный маркер.
* tpws : починка не срабатывающего мультисплита через `--fix-seg`
* nfqws,tpws : назначение владельца лог файлам и автохостлисту после парсинга всех опций
* nfqws,tpws : установка переменной окружения EXEDIR для использования в `@config`
* dvtws : установка рандомного поля ip_id вместо нулевого
* repo : бинарники для android API level 21+ (Android 5.0)
* install_easy : поддержка APK packet manager в openwrt
* blockcheck : убран вопрос "игнорировать сертификаты"
* blockcheck : убраны переменные IGNORE_CA, CURL_VERBOSE. вместо них добавлена переменная CURL_OPT.
* blockcheck : поддержка новых стратегий multisplit
* blockcheck : переработка порядка тестирования стратегий
* blockcheck : показ всех рабочих стратегий в summary
* багфиксы
|
|
|
|
akovalevich
Стаж: 16 лет 1 месяц Сообщений: 9
|
akovalevich ·
22-Ноя-24 11:10
(спустя 2 дня 15 часов)
в файле preset_russia_autohostlist.cmd из версии v69 такие последние три строчки:
Код:
--filter-udp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --new ^
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --hostlist="%~dp0autohostlist.txt" ^
--filter-udp=50000-50099 --ipset="%~dp0ipset-discord.txt" --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-any-protocol --dpi-desync-cutoff=n4
Ясно, что речь идет о стратегиях по udp, но неясно, почему после второй строки стоит только ^, а не --new ^
Потому что это одна стратегия? Непохоже.
Та же картина и в preset_russia.cmd, но без добавления в hostlist того, что ранее попало в autohostlist.
Можете подробнее прокомментировать этот блок.
Заранее спасибо.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
22-Ноя-24 13:06
(спустя 1 час 56 мин.)
|
|
|
|
akovalevich
Стаж: 16 лет 1 месяц Сообщений: 9
|
akovalevich ·
22-Ноя-24 16:02
(спустя 2 часа 56 мин.)
Спасибо за быстрый ответ. Вдогонку еще вопросы по сочетаемости ключей.
У меня уже довольно давно, в результате множества запусков и blockcheck, и goodcheck сложилась такая строка однозначно "пробивающая" все на своем пути:
Код:
--filter-tcp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=disorder --dpi-desync-ttl=4 --dpi-desync-split-pos=1 --wssize 1:6
- на работе, где есть и коробка от МГТС, и дополнительный ценз от Департамента
Код:
--filter-tcp=443 --hostlist="%~dp0list-youtube.txt" --dpi-desync=disorder2
- дома, где Ростелеком Москва
Я не очень понимал, что все это значит, поскольку никогда не влезал в такую узкую область, как TCP.
Объяснения, приведенные в readme.md при всех последних улучшениях и внимательном изучении, не дают полной картины. Непонятно простому смертному, что такое wssize 1:6, хоть убей. Непонятно также, как disorder соотносится с ttl=4. Никак?
Из readme.md неясно, является ли сегментация свойством пакетов на всем их пути от клиента к серверу или только до определенного хопа в трассировке.
Если от клиента к серверу, то почему оказывается, что сегментированный пакет доходит до сервера и правильно сервером собирается. А коробкой по дороге не может быть правильно собран? Или пока не может?
Если только до ttl-4, то мне очень сомнительно, что коробка у меня на четвертом хопе от меня. А с Ростелекомом вообще хватает просто disorder2 без всяких ttl. Непонятно.
Судя по readme.md, ttl и autottl это одно из средств для доставки фейковых clienthello (грубо говоря), чтобы фейковые достигали ТСПУ, но не шли дальше. А обязательно ли, если используется fake, должен быть указан пакет в виде bin-файла в --dpi-desync-fake-tls=?
Или zapret сам что-то подставляет, если не указано. Вот в случае с --filter-udp=443 и --filter-udp=50000-50099 сказано fake и всё.
Последний blockcheck выдает в summary сразу все строки, которые сработали на выбранном для проверки сайте.
Строки отличаются весьма значительно. Например, там есть и варианты с fake и разными дополнительными элементами, по нарастающей:
Код:
ipv4 rutr.life curl_test_https_tls12 : winws ... --dpi-desync=fake,multisplit --dpi-desync-ttl=5 --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls12 : winws ... --dpi-desync=fake,multisplit --dpi-desync-fooling=md5sig --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls12 : winws ... --dpi-desync=fake,fakedsplit --dpi-desync-ttl=5 --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls12 : winws ... --dpi-desync=fake,fakedsplit --dpi-desync-fooling=md5sig --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls12 : winws ... --dpi-desync=fake,multidisorder --dpi-desync-ttl=5 --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls12 : winws ... --dpi-desync=fake,multidisorder --dpi-desync-fooling=md5sig --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls12 : winws ... --dpi-desync=fake,fakeddisorder --dpi-desync-ttl=5 --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls12 : winws ... --dpi-desync=fake,fakeddisorder --dpi-desync-fooling=md5sig --dpi-desync-split-pos=1
...
ipv4 rutr.life curl_test_https_tls13 : winws ... --dpi-desync=fakeddisorder --dpi-desync-ttl=4 --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls13 : winws ... --dpi-desync=fakeddisorder --dpi-desync-fooling=badsum --dpi-desync-split-pos=1
ipv4 rutr.life curl_test_https_tls13 : winws ... --dpi-desync=fakeddisorder --dpi-desync-fooling=md5sig --dpi-desync-split-pos=1
Какой оптимальный алгоритм? Чем меньше параметров, тем лучше? Лучше сегментация или fake? Нужно ли их объединять в надежде, что больше сайтов откроется? Я понимаю, что это может быть весьма индивидуально и по провайдерам, и по заблокированным ресурсам, но все же должен быть сформулирован общий принцип. Пока ясно, что zapret, несмотря на потрясающие возможности, очень труден в освоении. Goodcheck значительно лучше позволяет исследовать среду, но стратегии он, по-моему, выбирает чисто статистически, избыточно. Хотелось бы разобраться.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
22-Ноя-24 18:06
(спустя 2 часа 4 мин.)
Простому смертному и не надо загружать мозги таким глубоким пониманием. Это может вредно сказаться на их состоянии =)
Но раз вопрошаете, расскажу.
Цитата:
Непонятно простому смертному, что такое wssize 1:6, хоть убей.
Чтобы это понять , нужно для начала понять что такое TCP window. А для этого поизучать как работает tcp протокол.
wssize = это window SERVER size. Средство управлять серверным окном со стороны клиента с целью вынудить сервер сегментировать свои TCP отсылки, чтобы DPI не просек ответ сервера и не заблочил на основании его анализа.
Цитата:
Непонятно также, как disorder соотносится с ttl=4. Никак?
disorder в v69 переименован в fakeddisorder. Давно напрашивалось.
ttl относится к фейкам, которые составляют часть этой процедуры
Цитата:
Из readme.md неясно, является ли сегментация свойством пакетов на всем их пути от клиента к серверу или только до определенного хопа в трассировке.
Сегментация - это средство завернуть эти_ваши_мегабайты в ограниченные размеры IP пакетов с MTU, например, всего 1500 байт. Без нее не работало бы ничего на tcp. Все ОС занимаются tcp сегментацией.
А наша задача заняться ее более занимательно и с прицелом на обман DPI, а не с оглядкой на MTU.
Цитата:
Если от клиента к серверу, то почему оказывается, что сегментированный пакет доходит до сервера и правильно сервером собирается. А коробкой по дороге не может быть правильно собран? Или пока не может?
Какие-то могут, какие-то не могут собрать, какие-то не могут собрать при определенных условиях типа инвертированного порядка следования. ОС может собрать все, что по стандарту, а в DPI нет полной подержки стандарта, потому что это накладно по ресурсам. А надо следить за всеми этими вашими нехорошими ресурсами. Приходится упрощать себе задачу.
Цитата:
Если только до ttl-4, то мне очень сомнительно, что коробка у меня на четвертом хопе от меня.
бывает и на первом
Цитата:
А с Ростелекомом вообще хватает просто disorder2 без всяких ttl. Непонятно.
Там зоопарк. Для волка хватает щелчка по носу, для слона нужен бронебойный патрон.
А когда и волк, и слон стоят на одной линии приходится искать компромисс как бы их обоих сразу пристрелить.
И при этом не отстрелить что-нибудь себе.
Цитата:
Судя по readme.md, ttl и autottl это одно из средств для доставки фейковых clienthello (грубо говоря), чтобы фейковые достигали ТСПУ, но не шли дальше.
так и есть
Цитата:
А обязательно ли, если используется fake, должен быть указан пакет в виде bin-файла в --dpi-desync-fake-tls=?
Или zapret сам что-то подставляет, если не указано. Вот в случае с --filter-udp=443 и --filter-udp=50000-50099 сказано fake и всё.
есть дефолтные фейки для разных протоколов. для TLS там идет еще некоторая рандомизация. случайных полей и SNI.
для остальных зашит фиксированный пейлоад. но их можно подгрузить из файла или задать как hex string.
Цитата:
Какой оптимальный алгоритм?
Тот, который меньше всего ломает. multisplit лучше, чем disorder в этом смысле.
multisplit или fake,multisplit без seqovl - очень неплохой вариант
|
|
|
|
akovalevich
Стаж: 16 лет 1 месяц Сообщений: 9
|
akovalevich ·
22-Ноя-24 19:34
(спустя 1 час 27 мин.)
Спасибо. Вопрос про wssize был неслучайно, потому что blockcheck сейчас не делает проверок с wssize, а раньше делал.
Это теперь неактуально или просто чтобы сделать проверку быстрее?
Говоря о сегментации я имел в виду раздел readme.md, который называется TCP Сегментация. Там говорится, что для multidisorder никакие fake не используются, а вот для fakeddisorder (в прошлом disorder) фейки используются. Тогда понятно почему применяется ttl.
По поводу хопов: как может быть 1? Один это же мой маршрутизатор. Или это шутка такая?
Каждый маршрутизатор берет себе одну единицу в TTL. Ну ладно дома, там количество хопов небольшое - 8, а на работе, в этой московской городской сети 10.x.x.x вот сколько нужно пройти, чтобы добраться до rutracker:
скрытый текст
Трассировка маршрута к rutr.life [172.67.182.196]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 10.y.y.y
2 2 ms 2 ms 3 ms 10.15x.x.x
3 2 ms 1 ms 7 ms 10.215.254.130
4 2 ms 2 ms 2 ms 10.215.254.131
5 3 ms 5 ms 4 ms 10.254.244.50
6 10 ms 3 ms 2 ms 10.109.11.125
7 5 ms 4 ms * 10.109.11.126
8 * * * Превышен интервал ожидания для запроса.
9 * * 4 ms a197-cr11-be5.msk.mts-internet.net [212.188.28.148]
10 * * * Превышен интервал ожидания для запроса.
11 3 ms 5 ms 8 ms a197-cr02-be2.msk.mts-internet.net [212.188.42.121]
12 6 ms 3 ms 4 ms a197-cr03-ae0.16.msk.mts-internet.net [212.188.55.2]
13 3 ms 4 ms 5 ms 195.34.49.174
14 24 ms 23 ms 23 ms a197-cr02-be18.10.msk.mts-internet.net [212.188.55.25]
15 22 ms 21 ms 22 ms as13335.asbr.router [212.188.33.197]
16 23 ms 22 ms 24 ms 172.68.8.51
17 22 ms 22 ms 22 ms 172.67.182.196
Да, цензоров в сети не один, а два, но zapret прошибает обоих. Я наблюдал такую картину, поскольку включен только autohostlist-режим. При попытке открыть какой-нибудь заблокированный сайт сначала наблюдалось (но не всегда, а в определенных случаях), как выдается первая, ведомственная заглушка - и zapret ее преодолевает, дальше появлялась заглушка от mgts, zapret пробивал и ее. Выходит disorder долетал значительно дальше, чем ttl=4. Или дело в чем-то другом?
Насчет multisplit по сравнению с multidisorder - надо будет проверить, мысль ясна.
|
|
|
|
kx77
Стаж: 12 лет Сообщений: 718
|
kx77 ·
24-Ноя-24 17:46
(спустя 1 день 22 часа, ред. 24-Ноя-24 17:46)
Цитата:
Спасибо. Вопрос про wssize был неслучайно, потому что blockcheck сейчас не делает проверок с wssize, а раньше делал.
Это теперь неактуально или просто чтобы сделать проверку быстрее?
В standard режиме делает только, если ничего не найдено вменяемого без.
Для ускорения и для снятия заморочек по несовместимости с хостлистами
Цитата:
По поводу хопов: как может быть 1? Один это же мой маршрутизатор. Или это шутка такая?
Почему нет ? Хоп никак не связан с физическим расстоянием. На трансатлантических кабелях тоже 1 хоп, и что ?
Хоп означает наличие L3 роутера, не более того.
Кое-где реально работает ttl=1. Поставили прям вплотную к юзерам DPI.
Цитата:
disorder долетал значительно дальше, чем ttl=4. Или дело в чем-то другом?
у disorder 2 компоненты. 2 фейка и 2 реал. ттл относится только к фейкам.
после 4 хопов фейки отлетают, но реал идут по-прежнему в обратном порядке, и это прошибает следующие DPI
--------------------
### zapret v69.1
1. tpws : исправлена логика процессинга хостлистов в режиме --socks5-hostname и логика обработки неизвестного протокола с хостлистами.
2. 10-keenetic-udp-fix : лечащая добавка для кинетика против отсутствия маскарада без ndmmark
### zapret v69.2
* nfqws,tpws: новый параметр `--skip` для временного исключения профиля без удаления параметров
* nfqws: новый параметр `--methodeol`. убрать пробел после `Host:` и добавить `\n` перед методом
* init.d: не использовать pgrep в sysv для совместимости с busybox (keenetic, прошивки, alpine)
### zapret v69.3
1. nfqws,tpws: фиксированные hostlist и ipset. значения указываются в командной строке через запятую и не меняются. `--hostlist-domains` `--hostlist-exclude-domains` `--ipset-ip` `--ipset-exclude-ip`
2. номера релизов и commit hash при сборке на github. дата/время сборки при самостоятельной сборке.
3. облегченный релиз для openwrt и прошивок
4. sha256sum: контрольные суммы всех файлов внутри binaries
|
|
|
|
