Zapret: обсуждение

bolvan · December 3, 2024, 7:28am

Без паттерна не творит ?
Тут на теле2 проверял нифига fakedsplit не работал, пока оба сегмента не облепил фейками. fakeddisorder работал

i-no · December 3, 2024, 8:56am

Как оказалось, этот чудотворный fakedsplit как-то очень ускорил открытие клаудфлерных ECH сайтов даже без кастомного паттерна.

abc555 · December 3, 2024, 9:09am

То есть можно заменить dpi-desync-fake-tls к примеру на dpi-desync-fakedsplit-pattern=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin ?
Я просто не понял что это за новый параметр
Покажите на примере --dpi-desync=fake,multisplit --dpi-desync-fakedsplit-pattern= ??? как должно быть или только влияет на --dpi-desync=fake,fakedsplit этот новый параметр ?
А то вчера поставил 69.4 версию, но ещё не разбирался, просто поставил и старую стратегию оставил

bolvan · December 3, 2024, 9:27am

паттерн относится только к факед сплиту и факед дисордеру
если их нет ни на что не влияет
факе тлс относится только к факе
не влияет если факе нет

причем паттерн режется параллельно с оригиналом и отсылаются куски с аналогичным смещением

abc555 · December 3, 2024, 9:33am

А блокчек я смотрю вы уже обновили, то есть в него уже заложены новые варианты ? Попробую поюзать вечером, а та на старой стратегии как то притормаживает, с задержкой открываются страницы в последнее время
А ютуб на одном прове на tls 1.2 я до сих пор не смог завести, работает только на tls 1.3, возможно в этот раз мне повезёт, не знаю ещё )
У меня 4 разных прова, есть на чём проводить тестирование, на 3х вроде всё нормально, а вот на одном они там воду мутят постоянно )

bolvan · December 3, 2024, 9:44am

1.2 можно завести только фейком или вссайз
в чекере не менялось ничего

tinker · December 3, 2024, 10:14am

Перед запуском блокчека обязательно отключать запрет?

bolvan · December 3, 2024, 10:17am

обязательно

wigeance · December 3, 2024, 10:22am

На билайне факедсплит без паттерна не заводится, если в паттерн кормить набор рандомных байт, то тоже не заводится. Если в паттерн скормить фейк, то заводится

uwu · December 3, 2024, 10:30am

del
не работает так
p,s проверил, fakedsplit-pattern hex от client hello работает в контексте обычных заблокированных сайтов, например ntc, но нужно все равно добавлять fake+fakedsplit
в случае ютуба - не работает. (правда я особо не тестил)

abc555 · December 3, 2024, 10:36am

В dpi-desync-fakedsplit-pattern какой вы туда фейк гугла поставили или пофиг какой ? Вечером хочу провести эксперимент, уже наверно месяц не могу никак одного прова победить

bolvan · December 3, 2024, 10:45am

попробуйте 0x1603010203

добавление фейк тлс хело в паттерн
создает ситуацию, когда замешаны 2 разных тлс в соседних сегментах и сложно сказать какой настоящий

wigeance · December 3, 2024, 11:17am

Column 1	Column 2	Column 3	Column 4
AS8402 Beeline tls1.3 test	rr3---sn-n8v7kn7k.googlevideo.com	instagram.com	windscribe.net
random hex data	fail	ok	fail
0x1603010203	fail	ok	fail (50/50)
tls_clienthello_with_erased_sni	ok	ok	ok
tls_clienthello_with_valid_googleservices_sni	ok	ok	ok
0x00 (Default)	fail	ok	fail (50/50)

Как-то так у меня вышло, с 0x1603010203 замирает курл на гуглвидео

easyone11 · December 3, 2024, 11:34am

@bolvan
есть очередная глупая идея для защиты от дураков
возможно ли при запуске zapret проверять строчки конфига на синтаксические ошибки?
например:
кол-во -- в -dpi-desync-fakedsplit-pattern
лишние пробелы либо их отсутствие --dpi-desync=fake --dpi-desync-fooling=badseq--dpi-desync=syndata --dpi-desync=fake --dpi-desync-fooling=badseq ___ --dpi-desync=syndata
ошибки в напасании каких то параметров <HOStLIST>

вариантов наверно слишком много как можно ошибиться, может быть сделать какой то минимум и то что не сложно, но в целом наверно я передал суть

bolvan · December 3, 2024, 11:55am

есть подозрение, что на части ресурсов
включают схему рубилки по “я не понял что это было”. проходит обмен начальный, он тему не сечет и рубит

bolvan · December 3, 2024, 12:02pm

там слишком много вариантов ошибки
дублирующий алгоритм на шелле - не вариант
только если сделать параметр --dry-run и анализировать экзит коде
идея неплохая , может сделаю

abc555 · December 3, 2024, 2:04pm

Что то я упустил, заметил что госуслуги не работают )) А есть куда добавить домен в исключение или только по ip это можно делать ?
Понижение ttl результата не дало, останавливаешь запрет начинает работать.
Я просто не использую список доменов, срабатывает на все сайты, ограничил через ttl и если бы мне не сказали что этот сайт не работает, то и не узнал бы )) Но как сказали пофиг что он не работает, главное что всё остальное работает, но хотелось бы его починить )

uwu · December 3, 2024, 2:15pm

--hostlist-exclude=<filename>

?

в идеале бы вообще все гос сайты закинуть в исключения (как это делают владельцы vpn)
но удобнее конечно использовать обычные хостлисты для заблокированных сайтов

BubaMuba · December 3, 2024, 2:17pm

В файл /opt/zapret/ipset/zapret-hosts-user-exclude.txt напишите
gosuslugi.ru

abc555 · December 3, 2024, 2:26pm

Пробовал, не работает.
Так же добавил параметр в стратегию --hostlist-exclude-domains= и создал файл /opt/zapret/ipset/zapret-hosts-user-123.txt и вообще запрет перестал работать.
Ещё раз попробую в zapret-hosts-user-exclude.txt и добавлю путь в --hostlist-exclude-domains=