Вероятно все просто. Причина в md5sig.
md5sig может плохо работать с kyber и сплитом на мелких позициях
Потому что первый сегмент полный под MTU, md5sig добавляет tcp option, она требует существенный размер
Надо наращивать сплит позицию или отказываться от md5sig или убирать кибер.
nfqws не умеет перераспределять данные между оригинальными tcp сегментами
Или надо отказываться от fakedsplit,fakeddisorder. Только в них генерятся фейки размером с оригинал
Вот как…неочевидный момент.
Пока попробую с datanoack погонять, посмотрю как пойдёт, это самый простой способ проверить.
А с md5sig,badsum или md5sig,badseq получится или тоже завалится?
Ни за что!
Эти двое - произведение искусства.
Без разницы. Если добавляется md5, то это требует места в пакете.
Остальные фулинги ничего не добавляют
Благодарю за помощь, это действительно md5sig…
И без него к сожалению кое что перестаёт работать.
Что ж, пожалуй откажусь от QUIC, всё равно ростелеком его у youtube рубит…а жаль, с ним работало быстрее.
Спасибо что readme обновили, надеюсь кому-то поможет.
а QUIC то здесь причем ? md5 относится к tcp
А разве QUIC без kyber будет работать?
Он и с ним то уже не работает здесь.
Конечно будет. Сам по себе quic не требует kyber.
kyber это лишь один из способов key agreement, требующий передачи значительного количество информации, что и раздувает handshake до нескольких пакетов
В фоксе кибер отдельно управляется для tls и quic
Но как на кибер и некибер реагирует конкретный DPI - это отдельный вопрос
Теоретически возможно ли научить nfqws этому? Если да, то планируется ли в будущем появление данной фичи?
Это непросто обыграть и требуется только для одного единственного случая.
Так что нет, не планируется
Здравствуйте, не совсем понимаю работу tpws
С nfqws разобрался.
Есть такой конфиг
–filter-tcp=80 --hostlist=/data/adb/modules/ZDT-D/working_folder/bin/general.txt --dpi-desync=fake,split2 --dpi-desync-autottl=6 --dpi-desync-fooling=md5sig
–new
–filter-tcp=443 --hostlist=/data/adb/modules/ZDT-D/working_folder/bin/general.txt --dpi-desync=split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=2 --dpi-desync-autottl
–new
–filter-tcp=443 --hostlist=/data/adb/modules/ZDT-D/working_folder/bin/russia-youtube.txt --dpi-desync=fake,split2 --dpi-desync-split-seqovl=2 --dpi-desync-split-pos=2 --dpi-desync-fake-tls=/data/adb/modules/ZDT-D/working_folder/bin/tls_clienthello_www_google_com.bin --dpi-desync-autottl --dpi-desync-repeats=10
–new
–filter-tcp=443 --hostlist=/data/adb/modules/ZDT-D/working_folder/bin/russia-discord.txt --dpi-desync=fake,disorder2 --dpi-desync-fake-tls=/data/adb/modules/ZDT-D/working_folder/bin/tls_clienthello_www_google_com.bin --dpi-desync-split-pos=3 --dpi-desync-fooling=md5sig --dpi-desync-repeats=12 --dpi-desync-autottl
–new
–filter-udp=443 --hostlist=/data/adb/modules/ZDT-D/working_folder/bin/general.txt --dpi-desync=fake --dpi-desync-repeats=8 --dpi-desync-fake-quic=/data/adb/modules/ZDT-D/working_folder/bin/quic_initial_www_google_com.bin
Можете пожалуйста помочь переписать его под tpws?
tpws и nfqws не эквивалентны.
nfqws работает на уровне пакетов, tpws на уровне потока через стандартные tcp сокеты
поэтому сделать точно такой же конфиг нельзя
Спасибо, но тогда вопрос:
Можно ли использовать tpws просто как прокси
То есть запустить nfqws допустим на порту 210
tpws на порт 9990
И с помощью iptables гонять трафик tpws через nfqws?
nfqws не работает на порту. Он слушает очереди NFQUEUE.
tpws можно запустить без параметров дурения как --socks.
iptables для этого не нужны
кто-нибудь ещё сталкивался с новым видом блокировок когда ERR_CONNECTION_TIMED_OUT вместо привычного reset?
ситуация неясная. с одной стороны только на одном провайдере, а с другой стороны только для одного ресурса, хоть и на разных ip и частично разных маршрутах
а именно hdrezka.in и rezka.ag слишком часто не открываются по таймауту чтобы подумать что трабл на их стороне, тем более что на других провайдерах сколько не тестил - в эти же моменты всегда доступны.
более того и на проблемном прове, тот же icmp всегда идёт без потерь и трабл лишь на 443
и в завершении всего сам трабл 50на50 т.е. то открывает нормально, то таймаут.
а главное нет даже мыслей как именно “доказать” что это чебурнилы гадят? в данном случае как понимаю никакой сниффер не спасёт. нету ни от кого пакета с rst. и понять какой из промежуточных хопов блочит нельзя. или есть у кого идеи?
нужно убедиться, что твоя стратегия пробивает TLS1.2, проверь на других таких же сайтах.
если другие заблокированные tls1.2 сайты открываются корректно, то убери всю автоматику по типу autottl для проверки и вместо этого укажи ttl вручную.
если используется фейк, то берешь ttl и понижаешь по единице до тех пор пока сайт не перестанет открываться, ну либо потом повышаешь, если считаешь, что у тебя стоит несколько тспу (но это сомнительно)
советы прочёл. оценил. ни листов ни ttl в своих стратегиях не юзаю. 1.2 действительно сложней дырявить чем 1.3 но тотже animejoy.ru и без quic открывает с теми параметрами что есть. а blockchek для резки не может подобрать чтоб 10из10 успех
тут что ещё странно - если с запретом зайти на любой блоченный сайт - то после сам запрет можно выключить и некоторое время по страницам сайта лазить нормально. пока tls не обновиться. т.е. после первого clienthello уже всё идёт шифрованным и чебурнилы сосут
а с резкой беда - даже если заходит на главную - не обновляя страницу можно схватить таймаут на первый же клик в рамках того же сайта - т.е. tls не должен ещё обновляться - а каким-то бесом рвётся связь… крайне неприятный симптом, если эти ублюдки внедрят такое на более широкий спектр адресов…
не ты ли писал, что animejoy у тебя то открывается, то нет?)
я в прошлый раз предлагал стратегии для tls1.2 но их так никто и не использовал…
сомневаюсь, что тут что-то решится без перевода на хостлисты
например, недавно опытным путем выяснил, что смайликам на твиче 7tv не нравится split , они начинают тупить и иногда не прогружаться (и иногда даже выдавать какой-то split error). решилось просто вывести в отдельную стратегию с обычным fake
как ты все сайты с одной tcp443 стратегией используешь я хз
Всем ку, в новой версии запрета как сделать, чтобы не висело окно в винде? Раньше можно было General.bat запустить и забыть, тут же не понятно ничего, пытался вникнуть в эту килотонну текста, что написан в гайде на самом гитхабе, в итоге вообще не понял эту ахинею, какие то пути обхода, какие то стратегии, хрен поймешь. Сейчас запускаю через preset_russia.cmd, Все остальные таски и сервисы не работают, запускал от админа, при перезагрузке приходится снова это окно врубать preset_russia.cmd
В батнике установки службы специально сделана защита против нубов.
Нубы ткнут, потом орут, что интернет пропал, и не знают как починить
Оригинал проекта на нубов не рассчитан. Это к сборщикам, обсуждать сборки у самих сборщиков
general.bat - из сборки какой-то
А, всё, понял, спс, я даже не знал, что какие-то ещё сборки бывают. У меня раньше была zapret от flowseal, оказывается. Вот, сейчас скачал, 2 кнопки нажал и готово, не нужно тратить время на непонятно написанные километровые текста, информация из которых по жизни не пригодится никогда 99% пользователям
