Zapret: обсуждение

vacsav · May 19, 2025, 12:57am

До этого момента работало с -1 в dup
Сейчас только с +1 в dup
Что-то крутят в коробке

--filter-tcp=80 --hostlist="%~dp0files\list-general.txt" --dpi-desync=fake,fakedsplit --dpi-desync-autottl=1:3-20 --dpi-desync-fooling=md5sig --dpi-desync-split-pos=midsld --dpi-desync-fake-http=0x00000000 --new ^
--filter-tcp=443 --hostlist="%~dp0files\list-youtube.txt" --dpi-desync=fake --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --dpi-desync-repeats=11 --dpi-desync-autottl=1:3-20 --dpi-desync-fooling=md5sig --dup=2 --dup-autottl=+1:3-128 --dup-cutoff=d2 --dup-fooling=md5sig --new ^
--filter-tcp=443 --hostlist="%~dp0files\list-general.txt" --dpi-desync=fake --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.microsoft.com --dpi-desync-repeats=6 --dpi-desync-autottl=1:3-20 --dpi-desync-fooling=badseq,md5sig --dup=2 --dup-autottl=+1:3-64 --dup-cutoff=d3 --dup-fooling=badsum,md5sig --new ^
--filter-udp=443 --hostlist="%~dp0files\list-youtube.txt" --dpi-desync=fake --dpi-desync-fake-quic="%~dp0files\quic_initial_www_google_com.bin" --dpi-desync-repeats=11 --new ^
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --new ^
--filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake

upd

Сделал -2, работает
С +1 интерфейс ютуба падает
С -1 не работает

upd2

Почему сразу не поставил -2?
С -2 некоторые сайты уходят в Secure Connection Failed

uwu · May 19, 2025, 2:30am

а тебе именно функция dup помогает открывать сайты? без нее будет блок?
я немного потестировал с ней пока была возможность, сайты то открывались, то переставали открываться (тоже самое с orig), так и не смог сделать каких-то выводов по этим функциям.
при этом стабильно открывались, если указать ttl предпоследнего хопа или совсем его убрать
но по итогу на всех сайтах, где тестил, этот блок убрали.

p,s сделал себе 200байт фейк от http запроса, который пробивает и ютуб и дис, но скорее там просто срабатывает не-tls проверка (тоже самое что и нули)

vacsav · May 19, 2025, 3:31am

Я уточню, если я буду использовать split то сайты тоже будут открываться, но dup не будет работать.
Я решил убрать split и тестировать только dup.

Ютуб работает на отлично с dup, но если оставить только ttl, то интерфейс грузится быстро, но начинаются приключения с качеством видео.
Остальные сайты только с dup.

Еще я попробовал --orig-autottl=+10:3-128 --dup-replace=0
Если делать +1, +2, +3, то долго грузит сайт, но рано или поздно загрузит.
Сделал на абум +10,+20 - сразу получил эффект быстрой загрузки, значит как-то может адекватно работать в связке с dup.

Когда я тестировал dup без хостлиста на 443, то сайты ломались из-за отсутствия cutoff, добавив его, я случайно столкнулся с сайтом 5post, который отказывался принимать соединение…
Методом тыка я пришел к тому, что сделал в dup - badsum,md5sig, а в desync - badseq,md5sig; при таком сайт дает подключение, но я пошел дальше и включил ttl для desync и вот с ttl сайт не дает подключение: --dpi-desync-autottl=1:3-20; если я сделаю 2:3-20, то дурение работать не будет, а 1 работает.
На twitch с fooling не загружаются изображения.
Когда натыкал стратегию, вернул хостлист.
Можно ослаблять дурение, например, хватит только md5sig.

Я понял твою идею с конкретным ttl, как-нибудь протестирую, а то накопил усталось все это тестировать в последнии дни…

Zanoni · May 19, 2025, 8:32am

Подтверждаю - что-то опять крутят… У меня стратегия для Ютуба вчера и позавчера прям летала, а сегодня с утра “Нет подключения к Интернету”.

KDS · May 19, 2025, 10:54am

Надо крутить быстрее их

@bolvan А можете на пальцах объяснить, чем принципиально отличается n3 от d3 для котов? И какой предпочтительнее использовать?

bolvan · May 19, 2025, 1:02pm

n - номер пакета
d - номер пакета с данными
для udp n==d
для tcp n!=d , тк d не считает пакеты без data payload. такие, как ACK
d1 для tcp - это первый пакет с data payload, он же обычно n3

KDS · May 19, 2025, 2:07pm

Премного благодарен! Эмпирическим путем вычислил, что n3 везде - вполне норм.

PirateSkull · May 19, 2025, 8:58pm

Это что то на сетевом инженерном как то связано m t u?

bolvan · May 20, 2025, 5:59am

data payload это данные tcp. есть заголовки разных уровней. l2 (ethernet)-l3 (ip) -l4(tcp), дальше идут данные tcp, собственно полезная нагрузка, которую КАЧАЮТ. информация
c MTU это связано лишь тем, что нельзя создать пакет размером, превышающим MTU. размер считается, начиная с L3 хедера

zzzombie1989 · May 21, 2025, 12:12am

@bolvan скажите пожалуйста по поводу изменений в zapret, nfqws: allow zero autottl даёт возможность любой из этих переменных присваивать 0? Что-то вроде --dup-autottl=0, --orig-autottl=0 или --dpi-desync-autottl=0? И какой в этом практический смысл?

bolvan · May 21, 2025, 6:43am

autottl считается включенным, если любой из параметров delta,min,max отличен от 0
при присваивании =0 min,max остаются по умолчанию, ненулевые, значит =0 включает autottl. раньше autottl считался включенным, если delta!=0 , то есть =0 выключало autottl.

практический смысл продиктован расширением сферы применения autottl на сценарии, когда пакет должен доходить до сервера. =0 - это точное соответствие длине пути, когда пакет приходит на сервер с TTL=1. без 0 такое сделать было невозможно.
в идеале autottl orig=0, desync=-1 , то есть разница всего 1 хоп, который и определяет доходимость до сервера. хотя на практике это работать не будет для большинства случаев, возможность все равно должна быть

zzzombie1989 · May 21, 2025, 10:16am

Специфический сценарий нужен, конечно, но в любом случае надо будет проверить

kowak · May 21, 2025, 11:42am

@bolvan а вы не хотите добавить в запрет функционал, чтобы мобильный хот спот работал из коробки. И чтобы не нужно было со всякими 3proxy париться?

Я пытался в этих проксях разобраться но так и не смог. То ли лыжи сложные слишком то ли во мне дело Слишком оно заумно для хомячка.

bolvan · May 21, 2025, 12:27pm

Я не исследовал этот вопрос, но Валдик говорил, что с проходным трафиком у windivert что-то не то.
Если вы не можете настроить прокси, то у вас большие проблемы с уровнем знаний, который уже требуется для успешного обхода блокировок. Дальше будет только сложнее

kowak · May 21, 2025, 12:32pm

Я пока не разобрался именно с 3proxy но думаю что осилю в конце концов. Главная проблема в том, что нужно во всех приложениях вписывать адрес прокси что неудобно и не везде его вабще можно вписать.
Хотелось бы чтобы как в виндеверте работало сразу со всеми приложениями но и через хотспот. Но ладно, тагда наверно буду мучить дальше проксю ведь другого выхода нет.

bolvan · May 21, 2025, 12:36pm

Возможно, посмотрю как там обстоит дело. Теоретически функции для этого есть, надо проверить

bolvan · May 21, 2025, 2:12pm

Не зря о проблемах упоминали

The forward layer does not interact well with the Windows NAT: It is not possible to block packets pre-NAT with WinDivert. As a general principle, you should not try and mix WinDivert at the forward layer with the Windows NAT implementation.

Пакеты ловятся, но не работает дроп. Невозможно остановить пакет, не дать ему уйти.
Инжект работает, но ловятся пакеты до NAT, и после инжекта снова NAT не проходят, так и уходя с внутренним IP.
Обе проблемы критические. Так что в топку, нереально
И это еще не все. Входящие, ответные пакеты, не ловятся на forward layer, а на network layer там внешний IP адрес, соотнести с внутренним невозможно, значит отвал всего, что завязано на входной трафик - autottl, autohostlist

kowak · May 21, 2025, 3:04pm

Спасибо что попытались разобраться. Тогда буду 3proxy использовать

easyone11 · May 24, 2025, 7:53am

71 в релизе

nfqws,tpws: увеличение максимального количества repeats и dups до 1024. ПОЛЬЗУЙТЕСЬ С УМОМ, НЕ СОЗДАВАЙТЕ ФЛУД.

ну держись коробка!)

abc555 · May 25, 2025, 8:30am

Спасибо !!! Как мне показалось, на той же стратегии в 71 версии страницы открываются быстрее, возможно просто показалось не знаю, но нужно время чтоб освоить функционал