16кб блокировка

TesterTi · February 26, 2026, 11:12pm

Про саму блокировку Белые списки - Cheburcheck
Прим. : реальный диапазон блокировок ~14-25 КБ, для http может быть ~24-32 КБ

Инструменты для проверки на “16кб” блок:

16kbCheckV2.zip (батник для windows, 1.5 МБ) - проверяет список ссылок, определяет asn/cdn доменов, тип блока, подбирает рабочие ip и sni
DPI Checkers от hyperion - показывает, на каких CDN и хостингах есть “16 кб” блок
Список блокируемых хостеров от 0ka

Обход “16кб” блока заключается в отправке белого sni (домена, входящего в белый список для CDN, на эти домены не распространяется “16кб” блок)

Для zapret это будет любая стратегия со sni/bin/hex

--wf-tcp=80,443 --filter-tcp=80,443 --dpi-desync=fake --dpi-desync-fooling=ts --dpi-desync-fake-tls-mod=rnd,sni=домен_из_белого_списка --dpi-desync-fake-http=files\http_домен_из_белого_списка.bin

Для GoodbyeDPI любая стратегия со sni/hex

--fake-from-hex значение_hex_для_домена_из_белого_списка --fake-with-sni домен_из_белого_списка --auto-ttl

Для byedpi

--fake -1 --fake-sni домен_из_белого_списка --fake-data http_домен_из_белого_списка.bin --ttl 5

Для singbox (и подобных утилит) на tls

			"tls": 
			{
				"enabled": true,
				"insecure": true,
				"server_name": "домен_из_белого_списка",
				"disable_sni": false
			}

Для awg1.5+

нужно задать i1 = <b 0xc7000000010>, где c7000000010 - это hex значение пейлоада

Проверить домен на наличие в белом или черном списке https://cheburcheck.ru/

Подобрать белый sni для домена (с “16кб” блоком)

SniFinderV2.zip (батник для windows 1,5 МБ) сделан на основе данных от lowderplay
FakeSniFinder.sh (скрипт для Linux) от knitabsorbed плюс DomainAsn.sh (генератор файла Asn.csv, основной источник - https://cheburcheck.ru/whitelist/domains.csv)

Сгенерировать пейлоад для домена из белого списка (файл .bin)

payloadGen от Ori (утилита для windows и linux) - протоколы quic/tls
FakeGenerator.zip (батник для windows) - протоколы quic/tls/http (используется ncat, на него может реагировать антивирус)

TesterTi · February 26, 2026, 11:14pm

Хочется собрать все ссылки в одном месте, добавляйте, если что-то упущено

Runni · February 27, 2026, 12:00am

на каких CDN есть “16 кб” блок

*СDN и хостингах

Также есть вот такой список блокируемых хостеров

Еще можно добавить, что реальный диапазон блокировок ~14-25, для http ловил немного выше - ~24-32

yatolkosprosit · February 27, 2026, 3:18am

У меня такой вопрос. Я захожу на Cheburcheck, ввожу интересующий домен, например dln1.ncdn.ec. Cheburcheck выдает, что адрес домена заблокирован, и что он входит в ASN AS13335. Там же имеется белый список сайтов. А как теперь понять, есть ли в AS13335 какой-нибудь сайт из белого списка?
Я нашел нужный ASN в файле asn.csv из SniFinder. Но как это сделать самому вручную?

И еще: я не нахожу в руководстве zapret опцию --dpi-desync=fake

TesterTi · February 27, 2026, 11:08am

Спасибо! Добавлено

bartt · February 27, 2026, 11:12am

это параметр для nfqws1. Для nfqws2 у меня работает это

--lua-desync=hostfakesplit:host=gnome-look.org:midhost=host-2:seqovl=sniext+3:seqovl_pattern=tls_clienthello:badsum:tcp_md5:tcp_ts_up"

Само собой, подставляете нужный хост-лист или айписет и вместо gnome-look.org вписываете sni из белого списка. Еще я не уверен на счет tcp_ts_up

bartt · February 27, 2026, 11:14am

Медлденно, но верну пишу утилу, которая будет по хосту или ip выдавать всю нужную инфу, включая sni из белого списка.

TesterTi · February 27, 2026, 11:23am

А сам батник FakeSniFinder.cmd разве не выдал вам список белых (фейковых sni)? Конкретно под dln1.ncdn.ec мне выдал почти 300 шт.

Спойлер

--dpi-desync=[<mode0>,]<mode>[,<mode2] ; атака по десинхронизации DPI. mode : synack syndata fake fakeknown rst rstack hopbyhop destopt ipfrag1 multisplit multidisorder fakedsplit hostfakesplit fakeddisorder ipfrag2 udplen tamper

yatolkosprosit · February 27, 2026, 12:17pm

Мне было интересно как он это делает. А почему так много? Почти 300 штук только для одного ASN, в то время как всего в белом списке чуть более тысячи доменов.
Или SniFinder выдает просто список доменов, ассоциированных с некоторым ASN, а этот список уже надо сравнивать с белым списком?

TesterTi · February 27, 2026, 12:52pm

Очень просто) Откройте FakeSniFinder.cmd в любом текстовом редакторе и сами все поймете. В 2 словах: lowderplay здесь https://ntc.party/t/блокировка-cloudflare-ovh-hetzner-digitalocean-09062025-xxxxxxxx/17013/500 поделился экселевской таблицей whitelist_domains.xlsx Там белые домены и соответствующие asn. Эти 2 столбца были отсортированы по алфавиту и сохранены как Asn.scv.
Вы вводите в батник домен, он определяет его ip, затем по ip узнает его asn через запрос на веб-сайт. А по asn уже легко находит все соотвествующие белые sni из таблицы Asn.scv Ничего больше сравнивать не нужно) Только проверить, действительно ли эти sni в белом списке конкретно на вашем провайдере. Это тоже можно автоматизировать, пока руки не дошли

lowderplay сделал тулзу https://github.com/LowderPlay/cheburcheck/tree/master/reporter, которая проверяет топ-100,000 доменов на наличие в белом списке. На ее основе сделана таблица. Видимо, в топ-100,000 доменов больше всего сайтов на CloudFlare

knitabsorbed · February 27, 2026, 6:23pm

FakeSniFinder.sh (2.7 KB)
DomainAsn.sh (1.1 KB)
Asn.csv (42.3 KB)
Навайбкодил FakeSniFinder для Linux, а также генератор файла Asn.csv. Обновлённый файл Asn.csv также прикреплён, основной источник - https://cheburcheck.ru/whitelist/domains.csv.

Edit: DomainAsn не учитывает несуществующие домены 2-го порядка (например, он скипнет домен tiktokcdn.com, т. к. он не резолвится, хотя его домены 3-го порядка существуют и находятся в белом списке).

TesterTi · February 27, 2026, 6:41pm

Спасибо, добавлено в шапку

Mickern · February 28, 2026, 12:35am

Resolve And Whois v1.3 by Ori по доменному имени выдаёт используемый хостинг и некоторую другую информацию, например наличие ECH в dns. Последнюю версию можно поискать на форуме, но также перезалито сюда под именем dns-check.

hbcau · February 28, 2026, 3:40pm

пока не особо хорошо понимаю все эти вещи, имеет ли смысл применять что-то из описанного к VPS с VLESS+TLS на бесплатном поддомене duckDNS, если адреса хостера попали под 16кб блок и на его AS ничего в белом списке нет?

0ka · February 28, 2026, 3:42pm

какой это хостинг?

вобще ничего непонятно, откуда вы взяли прокси на AS duckdns?

hbcau · February 28, 2026, 4:07pm

iphoster. насчет duckDNS имею в виду, что к его поддомену привязан IP моего VPS и xray/singbox клиент подключается к прокси по нему же.

не доходит, по какому принципу ищется AS (не какие же попало домены вбивать в чебурчек и snifinder?) и надо ли оно вообще в таком контексте

0ka · February 28, 2026, 4:09pm

Именно так, только сам сайт чебурчек ничем не поможет, что такое snifinder не знаю, нужно пробовать сни из большого списка популярных на вебсервере вашей впс с большим файлом.
Duckdns не имеет никакого отношения к теме.

Runni · March 2, 2026, 1:25am

В dpi-detector v2.0 добавлен подбор рабочих SNI для AS

TesterTi · March 5, 2026, 10:34pm

Обновлены:
16kbCheckV2.zip - добавлен подбор sni
SniFinderV2.zip - теперь можно вводить ссылки, батник должен выдавать лишь реально рабочие sni

anonymous146 · March 6, 2026, 12:26pm

Что-то не могу понять. Если моего хостера нет в списке захардкоженом в этих скриптах, получается они мне подобрать белый sni никак не помогут? Или как-то можно добавить своего хостера в dpi-detector, например?