Маскировка shadowsocks или obfs4 от DPI

sn-gvnuxaxjvh-aome · April 11, 2025, 9:38am

Интересно можно ли shadowsocks или obfs4 как то порезать запретом , чтобы dpi перпестал его видеть правильно?

Molchun · April 11, 2025, 3:08pm

Можно. Мне по obfs4 подсказали:

sudo iptables -I OUTPUT -o enp1s0 -p tcp --dport 14824 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:6 -m mark ! --mark 0x40000000/0x40000000 -j NFQUEUE --queue-num 200 --queue-bypass

sudo nfqws --qnum=200 --filter-tcp=14824 --dpi-desync=fake,multisplit --dpi-desync-repeats=6 --dpi-desync-fooling=badseq,md5sig --dpi-desync-split-pos=15,450,950 --dpi-desync-any-protocol=1 --dpi-desync-cutoff=d4

14824 это порт сервера. Возможно, опции можно упростить.

Molchun · April 12, 2025, 4:19am

Народу может быть полезно. Кстати, поскольку я линуксоид, предпочитаю использовать byedpi (ciadpi), чтобы не возиться с правилами iptables. Вот такая команда тоже работает для obfs4:
ciadpi -s1 -f6 -p 8082
Значит split 1, fake 6, слушать порт 8082 на локалхосте. В .torrc надо указать:
Socks5Proxy 127.0.0.1:8082
Несмотря на то, что Tor использует транспорт obfs4proxy (lyrebird), он передаёт ему параметр прокси, т.е. отправляет его через прокси (byedpi).

С shadowsocks это тоже прокатывает. Только надо помнить, что не все shadowsocks клиенты сами (без проксификаторов типа proxychains4) позволяют указать upstream proxy (byedpi).

Nekoray позволяет создавать цепочки прокси.
Консольный gost тоже, но он требует расшифровки ss URL, что не очень удобно.
Консольный shadowsocks-libev работает с proxychains4. Тоже требует расшифровки ss URL, зато поддерживает старые шифры, вроде aes-256-gcm (многие современные shadowsocks клиенты их уже забросили, а такие прокси ещё встречаются, в том числе долгоживущие). proxychains4 не проксирует static бинарники, которые бывают в shadowsocks-rust, например (можно самому скомпилить shadowsocks-rust в shared режиме и со старыми шифрами).

Замечено, что лагает рутрекер (вроде, только он). Может, задержка часть их защиты для грязных IP прокси.

Достаточно -s1 ИЛИ -f1. -f1 лучше.

Razumist_Razumnii · April 20, 2025, 3:32pm

Тема актуальная. Все больше и больше ОБФС4 мостов блокируется. Веб туннелл совсем резервный вариант. Нужно сохранить доступ к ОБФС 4 так долго как это возможно
@cohosh
@Nina
Что вы об этом думайте? Работает ли команда ТОР надо модификатором трафика подобному zapret?

spv82 · April 21, 2025, 8:13am

Там считают что за пределами Китая-Ирана-РФ достаточно obfs4
Все равно РКН банит публичные мосты по ип:порт:tcp

Molchun · April 21, 2025, 9:39am

У меня была мысль написать им (в tor и/или obfs4 проект) и предложить опцию split, но что-то лень. Потому что не уверен, что будет отдача.

p777aleks · April 21, 2025, 10:29am

ну на какие то вопросы быстро и нормально реагируют
когда тот же snowflake банили в РФ == починили

но сейчас когда в lyrebird напихали obfs4 / snowflake / webtunnel ИМХО шансов уже меньше
хотя при этом если чтото и сделают то возможно универсальное решение

кстати уже есть похожие темы

rkn-chan · April 21, 2025, 11:18am

у них прямо сейчас идет survey метрика в браузере при подключение (напрямую только не пытайтесь подключаться иначе весь интернет выключается динамически). мошешь прямо там в free form и посоветовать. чем больше таких советов тем больше спрос

Nina · April 21, 2025, 5:27pm

Добрый день!
А почему webtunnel - это совсем резервный вариант?
Эти мосты очень хорошо себя показывают в России, скорость обычно хорошая.
Мосты obfs4 часто не работают у мобильных провайдеров, в этом случае webtunnel особенно нужны.

Razumist_Razumnii · April 21, 2025, 5:55pm

Согласно Tor Metrics сейчас в основном в РФ используют OBFS4. Если все перейдут на WebTunnel хватит ли их? Как я понимаю мостов obfs4 больше чем WebTunnel
Мосты obfs4 блокируются в основном в полуручном режиме. Если они не заблокированы по IP имеет смысл ими пользоваться
Так же мосты WebTunnel надо получать на сайте.

Nina · April 21, 2025, 6:10pm

Когда мы только запустили webtunnel (чуть больше года назад), их, действительно, было немного. Но в конце прошлого года мы провели кампанию, обратившись к добровольцам с просьбой запустить больше мостов webtunnel - как раз из-за блокировок obfs4 в России.
Мостов obfs4, конечно же, больше, но и webtunnel вполне достаточно.
Получить webtunnel можно на сайте, у поддержки, а также они должны использоваться, когда вы подключаетесь с помощью модуля Connection Assist (Помощник при подключении), который в новой версии (14.5) стал доступен и в браузере Tor для Android.

p777aleks · April 21, 2025, 6:13pm

их мало вообще
из списка даже у меня с IPv6 (где пока что почти ничего не блочат) работают далеко не все
непонятно можно ли их забанить “сразу” как тот же OBFS4

226 всего

ClientUseIPv4 1
ClientUseIPv6 0
ClientPreferIPv6ORPort 0

Спойлер

Razumist_Razumnii · April 21, 2025, 6:20pm

Как я понимаю команда Тор предвидела подобный расклад событий и предлагала obfs5 еще 5 лет назад. Но сейчас все усилия в основном идут на WebTunnel? Возможно ли легко одним обновлением обфусцировать obfs4 чтобы уменьшить вероятность блокировки?

markseller · April 21, 2025, 6:23pm

Стараюсь быть “в теме” по возможности, но сейчас я окончательно запутался.
На сайте Tor объясняется как поднять свой webtunnel через свой сайт, а это значит аренда VDS и все прочее, поэтому это рассматривается как крайний вариант, в первую очередь идут бесплатные варианты.
Вы пишите, что есть публичные webtunnel, которые по аналогии с obfs4 и другими, подняты добровольцами.
На сайте в разделе “Поддержка” ответы на вопросы, но нет ничего о webtunnel.
В данный момент у меня нормально работают obfs4 и просто так использовать webtunnel смысла не вижу, но если не будет работать ничего кроме них, то где их взять и как в браузер добавить?
Речь о десктопной версии для Windows.

Xunlei · April 21, 2025, 6:58pm

тут

Nina · April 22, 2025, 10:19am

Сейчас работают три основных транспорта - мосты obfs4 (то есть обфусцированные) и webtunnel, а также snowflake.

Nina · April 22, 2025, 10:28am

Мосты webtunnel и obfs4 поддерживают для нас добровольцы, и тот, и другой тип мостов требуют финансовых и организационных затрат.
Webtunnel, несомненно, более ресурсоемкий мост.

Почитать о видах мостов с пользовательской точки зрения можно в Мануале.
Как создать свой мост - в разделе “Сообщество”.

Получить webtunnel можно на сайте, у поддержки, а также они должны использоваться, когда вы подключаетесь с помощью модуля Connection Assist (Помощник при подключении), который в новой версии (14.5) стал доступен и в браузере Tor для Android. Кроме того, вероятно, что они скоро будут доступны у нашего бота в телеграм

Molchun · April 22, 2025, 11:29am

У меня не работает obfs4.

Nina · April 22, 2025, 11:35am

я имею в виду транспорты, доступные в браузере Tor. В разных странах рекомендации по наиболее эффективным/доступным транспортам могут отличаться

Razumist_Razumnii · April 22, 2025, 3:08pm

Если WebTunnel более ресурсоемкий это тем более делает актуальным обфускацию obsf4 мостов. Часть из них безусловно блокируется по IP. Но судя по сообщениям имеют место быть и динамические блокировки с которыми можно работать
obsf4 безусловно обусцированные но как мы видим этого не достаточно. Иначе бы не было этой темы