Zapret: обсуждение

trin4ik · May 12, 2025, 4:44pm

кстати, в тему про ttl. когда в 20-ых числах апреля у всех вдруг “сломался” запрет, помогая точечно настроить запрет одному знакомому, ему внезапомно помогло просто увеличение флага --dpi-desync-autottl=2, с 2 на 5. насколько я понял, у него была универсальная стратегия отсюда

github.com/bol-van/zapret-win-bundle

zapret-winws/preset_russia.cmd

master

start "zapret: http,https,quic" /min "%~dp0winws.exe" ^
--wf-tcp=80,443 --wf-udp=443,50000-50099 ^
--filter-tcp=80 --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --hostlist="%~dp0files\list-youtube.txt" --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new ^
--filter-tcp=443 --dpi-desync=fake,multidisorder --dpi-desync-split-pos=midsld --dpi-desync-repeats=6 --dpi-desync-fooling=badseq,md5sig --new ^
--filter-udp=443 --hostlist="%~dp0files\list-youtube.txt" --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic="%~dp0files\quic_initial_www_google_com.bin" --new ^
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --new ^
--filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake

но при этом был добавлен autottl для каждого фильтра и везде он был 2. поменяв его на 5 он сказал, что теперь всё работает.
верно я понимаю, что увеличение autottl приводит к уменьшению ttl в пакете, т.е. фактически конкретно в его случае как я понял zapret работал, просто в какой-то момент количество хопов стало “достаточно”, чтобы добраться до нужного сервера и т.к. фейк запрос начал доходить до конечного сервера, всё ломалось. т.е. в его случае фактически РКН просто немного “ускорило” инет, уменьшив количество хопов, что привело к тому, что фейки начали доходить до серверов. если я всё правильно понял, то это интересный метод “борьбы” с запретом – увеличение скорости провайдеров ;))

Inkerman14 · May 12, 2025, 5:21pm

Да , первый пробивается без обхода , второй HTTP ERROR 400 - всегда и с обходом и без . ртк мск

PirateSkull · May 12, 2025, 5:30pm

Писал ранее про мелкого провайдера где Ютуб без фейка работает. Вообщем ситуация следующая на ноутбуке с Линукс, обновили запрет до 70 версии открывать стало вообще все со стандартным конфигом nfqws кроме Инстаграма. Проблема следующая Ютуб видео работают через раз. Не понятно как это победить. Подскажите может есть какой то хитрый параметр чтоб улучшить загрузку видео. А то это очень неудобно обновлять страницу по два, три раза. Ещё что заметили старые видео которые залиты больше недели грузятся бодрее. Если блокчеком прогнать домены googlevideo то выдает ту же стратегию которая установлена по умолчанию.

zzzombie1989 · May 12, 2025, 5:43pm

У меня Ютуб с такой стратегией работает:

--filter-tcp=443 --ipcache-hostname=1 --ipset="%~dp0lists\russia-youtube-ipset.txt" --dpi-desync=syndata --dpi-desync-fake-syndata="%~dp0fake\tls_clienthello_4.bin" --new 
--filter-tcp=443 --hostlist="%~dp0lists\russia-youtube.txt" --dpi-desync=multisplit --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=midsld+1 --dpi-desync-split-seqovl-pattern="%~dp0fake\tls_clienthello_7.bin" --new 
--filter-tcp=443 --hostlist-domains=googlevideo.com --dpi-desync=multisplit --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2,midsld-2 --dpi-desync-split-seqovl-pattern="%~dp0fake\tls_clienthello_7.bin" --new 
--filter-udp=443 --hostlist="%~dp0lists\russia-youtubeQ.txt" --dpi-desync=fake,udplen --dpi-desync-udplen-increment=4 --dpi-desync-fake-quic="%~dp0fake\quic_4.bin" --dpi-desync-cutoff=n3 --dpi-desync-repeats=2 --new

bolvan · May 12, 2025, 6:04pm

смысла нет включать ipcache, если нет стратегий 0 фазы с хостлистами
ipcache - глобальный параметр, а не профильный. если есть ожидание, что относится к профилю, то это не так

PirateSkull · May 12, 2025, 6:20pm

Благодарю. надо изучить эти параметры которые вы скинули потому что в стандартном конфиге они не используются. В остальном конфиги схожи.

trin4ik · May 12, 2025, 6:24pm

прогонять гуглвидео блокчеком смысла особого нет, т.к. его же не блокируют, а “замедляют”, а по сути просто теряют часть пакетов по дороге.
у меня с самого начала для ютуба работает fake, работает прекрасно, на всех устройствах

...
--filter-tcp=443 --dpi-desync=fake --dpi-desync-ttl=2 --dpi-desync-repeats=6 --dpi-desync-fake-tls=/opt/zapret/files/fake/tls_clienthello_www_google_com.bin --hostlist=/opt/zapret/ipset/zapret-youtube.txt --new
...
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=6 --dpi-desync-fake-quic=/opt/zapret/files/fake/quic_initial_www_google_com.bin --hostlist=/opt/zapret/ipset/zapret-youtube.txt --new
...

ну и иногда играюсь с autottl/repeats. опять же, вам надо будет подобрать для своего провайдера autottl/repeats, начать можно с представленных.
с 70.6 так же можно вместо файла с clienthello/quicinitial как у меня в конфиге использовать sni, ну т.е. конфиг будет ещё проще.

PirateSkull · May 12, 2025, 6:27pm

repeats возьму на вооружение. А фейки разные подставлял. С ними Ютуб вообще не грузит.
Upd --dpi-desync-ttl=random-number эффекта не даёт пробывали

zzzombie1989 · May 12, 2025, 6:32pm

Понял, спасибо за объяснение!

trin4ik · May 12, 2025, 6:32pm

рекомендую ещё разок перечитать раздел про фейки

лично до меня фейки толком дошли вообще не с первого раза, раз 10 потребовалось перечитать, чтобы понять общую картину. я к тому, что “фейки разные подставлял” звучит как “я что-то попробовал”. к ним надо с чуть бОльшим уважением )
ttl рандомный работать не будет, ttl очень тонкая настройка. autottl позволяет “грубее” настроить ttl, как я понял, поэтому чаще его и используют.

PirateSkull · May 12, 2025, 6:42pm

Понял вас. Надо будет изучить параметры запрета. Так как у меня поверхностные знания.

zzzombie1989 · May 12, 2025, 7:42pm

Поборол Твиттер, добавив вот эти адреса в хостлист:

t.co
x.com
twitter.com
abs.twimg.com
pbs.twimg.com
abs-0.twimg.com
api.x.com

Inkerman14 · May 12, 2025, 7:48pm

Спс за наводку у меня в листе pbs.twimg.com
abs-0.twimg.com - не было , буду проверять.

Inkerman14 · May 12, 2025, 8:00pm

Спойлер

Хмммммм. А вот в таком варианте трейса tcp не откисает. Ничего не понимаю…( Это из-за проброса на udp или тут работает проброс на левый порт ? Я так понимаю - это позволяет удерживать порт открытым ?

abc555 · May 13, 2025, 11:28am

Поставил версию запрета 71, бинарник взял из версии 70.6, переустановил полностью без сохранения, хотел поюзать новый параметр dup, но он у меня не работает, к примеру ставлю --dup-ttl=10 и запрет просто перестаёт работать, что я делаю не так ? А так всё работает как и версия 70.6, без изменений. Что я сделал, скачал 71 версию zip, закинул в архив бинарник и закинул zip на роутер и установил. Может надо было полностью сбросить настройки роутера и на чистую установить ?

easyone11 · May 13, 2025, 11:49am

надо собирать либо ждать релиз
https://github.com/bol-van/zapret/blob/master/docs/compile/build_howto_openwrt.txt
либо средствами гитхаба

abc555 · May 13, 2025, 12:26pm

Спасибо я понял, что то что я проделал полная фигня. Но там надо вникать, лучше подожду релиз

bolvan · May 13, 2025, 1:22pm

я хотел узнать какие протоколы и на каком хопе рубятся, связано ли это с портами
там надо более детально разбираться
может проходят пакеты с определенными флагами, с соурсе портамт и тд

Zanoni · May 13, 2025, 2:58pm

Тоже хотел бы дупу пощупать для Ютуба. Но нам на winws ждать релиза версии ещё долго, как я понимаю.

arinoki · May 13, 2025, 4:07pm

Да собрать так-то дело пяти минут. Вот последний билд на текущий момент.
winws.exe (184 КБ)