Zapret: обсуждение

Keksimus · June 14, 2025, 7:20pm

Усиленно блочат CF и гугл, пока рабочая схема пересесть на какой-нибудь quad9, opendns и т.д. + zapret

Цель как я понимаю пересадить всех с заморских dns на очечественные.
"Василич же недавно сказал что “будем душить иностранные сервисы”

KDS · June 14, 2025, 7:33pm

Мне вот интересно, чем отличается kyber в Firefox и том же Эдже, например. Ибо в первом все летает с определенной стратегией, а во втором - работает через раз или вообще не работает. Но стоит в Эдже вырубить kyber и все становится более-менее похоже по работоспособности. С Хромом такая же ситуация.
Стратегия - мультисплит с секьюовл с фейком TLS 1.2 или 1.3 в качестве паттерна. Со стратегиями с фейк,мульти*** подобных проблем не замечено

KDS · June 14, 2025, 7:48pm

Подтверждаю. Не некоторых а вообще всех. CF на запрос к сайту выдает 403 Forbidden и просто дропает все последующие запросы браузера. Тестировал в течении недели - результат всегда был один. А сегодня человек словил этот бан, потому что чисто в игрушку играл, с серверами на CF и использовал дурение синдатой. Причем сплит синдаты не решает от слова совсем - бан прилетает, рано или поздно. Чаще рано. Иногда помогает смена IP переподключением к провайдеру, иногда не помогает. Бан держится от нескольких часов до суток, потом снимается

p777aleks · June 14, 2025, 8:05pm

uag=gocurl/v1.4.9
kex=X25519

uag=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
kex=X25519

uag=Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/137.0.0.0 Safari/537.36 Edg/137.0.0.0
kex=X25519MLKEM768

C:\…apret-win-bundle-master\cygwin\usr\local\bin>curl-kyber.exe
uag=curl/8.14.1
kex=X25519MLKEM768

p777aleks · June 14, 2025, 8:10pm

uag=Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
kex=X25519MLKEM768

GitHub - lwthiker/curl-impersonate: curl-impersonate: A special build of curl that can impersonate Chrome & Firefox

SagePtr · June 14, 2025, 9:50pm

Рандомное перемешивание TLS-расширений в хроме и строгий порядок оных в Firefox. В итоге в хромоподобных при включённом ML-KEM/Kyber расширение SNI может оказаться либо в первом пакете, либо во втором. В Firefox вроде всегда в первом окажется, если не ошибаюсь (лень снифером проверять). Вероятно, у вас в стратегии сплит по midsld, потому возникает зависимость от случайного порядка, исправляется сплитом по 1 или 1,midsld. Но могу и ошибаться, не проверял в паре с seqovl.

KDS · June 14, 2025, 10:04pm

Спасибо. Сплитит по sld+1 либо +2. Попробую сменить

@p777aleks а в 128.11 так же?

p777aleks · June 14, 2025, 10:46pm

это 128.11.0esr == просто User-Agent так сокращают
uag=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:128.0) Gecko/20100101 Firefox/128.0
http=http/3
tls=TLSv1.3
sni=encrypted
kex=X25519

вот 139.0.4 уже по другому
uag=Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:139.0) Gecko/20100101 Firefox/139.0
http=http/3
tls=TLSv1.3
sni=encrypted
kex=X25519MLKEM768

one.one.one.one/cdn-cgi/trace
encryptedsni.com/cdn-cgi/trace
cloudflare-ech.com/cdn-cgi/trace
crypto.cloudflare.com/cdn-cgi/trace
у меня веселей. даже на одном браузере может то открываться/то нет
или конкретный УРЛ работает на firefox но не работает на Edge (или наоборот)

bolvan · June 15, 2025, 5:45am

С куиком изначально было все сложно.
Там возможно множество вариаций, которые могут вызывать различное поведение DPI.

Если снять шифр, то в QUIC пакетах идет еще уровень фрагментации сообщения.
Оно может быть разрезано на множество кусков, дополненно паддингом, размазано по нескольким udp пакетам в произвольном порядке следования.
Самые простые реализации гонят без фрагментации весь TLS hello. Хром же любил всегда навязывать следование стандартам, потому принудительно шинковал hello как капусту. С недавних версий он стал еще и разбрасывать куски по разным пакетам. То есть нельзя собрать один пакет, затем другой и обьединить. Нет, надо сначала все расшифровать, потом убедиться, что фрагменты полностью покрывают сообщение, и только потом их склеить.
В добавок, случайно перемешиваются еще и сами extensions в TLS.
Как вы думаете, могут ли DPI и гос машина оперативно следовать за такими инновациями ?

Как показала практика, некоторые реализации QUIC DPI до некоторой поры пропускал, не будучи в состоянии разобрать. Другие блокировал. На третьих не работает fake. И тд
Версии DPI обновляют. Что они там намутили даже ВВП неизвестно

SeamniZ · June 15, 2025, 8:32am

У меня без запрета WARP не подключается на рт, с ним - работает, но дропает скорость до 10 мбит ровно через рандомное время, помогает смена IP и переподключение тоннеля WARP, именно в приложении, сейчас отключил запрет, а без него половина сайтов за CF - в ауте, стратегия из вашей сборки 2.9.3 , просто перенесенная на OWRT

KDS · June 15, 2025, 8:44am

Ну, как минимум у меня они намутили полную блокировку quic на гуглвидео, которая не пробивается вообще ничем. Убил 3 часа, плюнул и просто вырубил квик нафиг.

У меня сегодня день тупых вопросов: чтобы сделать скип профиля, какой из --new надо менять на --skip - до профиля или после него? Не могу никак разобраться, оно все время по-разному работает почему-то о_О

electrifying · June 15, 2025, 9:20am

Насколько сильно я нагружу роутер и потеряю в производительности сети, если подниму кастом скрипты для всех популярных cdn. Типо hetzner, cf,Amazon и т.д?

bolvan · June 15, 2025, 9:42am

–new не меняется на --skip, а --skip добавляется
–skip - это часть параметров профиля, который его удаляет. может быть в любом месте внутри профиля
–new никто не отменял в качестве начала нового профиля

bolvan · June 15, 2025, 9:44am

так это же от много чего зависит
есть 2 фактора - память и cpu
память жрется много на инстанс только, если загружаются большие листы. хоть в сам nfqws, хоть в сеты.
nfset может вынести даже 128 мб роутер от 30к записей
cpu при не совсем идиотической настройке как правило не проблема

KDS · June 15, 2025, 9:45am

От оно как, спасибо!

А если из исходников собрать из ватснью - это может помочь с пробитием убитого квика на гуглвидео?

bolvan · June 15, 2025, 9:45am

только если ipfrag используется. но он работает далеко не везде, на гугле не работает

KDS · June 15, 2025, 9:57am

У меня работал ipfrag2 на гугле или это другое?

sashalomaetdpi · June 15, 2025, 9:57am

Какой сценарий вообще предпочительней, мы используем стратегию (например, --dpi-desync=multisplit --dpi-desync-split-pos=2 --dpi-desync-split-seqovl=336 --dpi-desync-split-seqovl-pattern=/opt/zapret-v71.1.1/files/fake/tls_clienthello_iana_org.bin) на весь трафик, фильтруя по 443\tcp и делая exclude список того, что сломается, или сделать хостлисты\ипсеты со всеми нужными доменами и подсетями? Я пробовал и так и так, загонял в ipset (и в iptables, и в --ipset) все диапазоны cf,amazon,etc, и просто пулял стратегию в весь интернет. И то и то жрет какие-то копейки, на MT7986A всегда 0% загрузки у процесса nfqws.

bolvan · June 15, 2025, 9:59am

Провайдер провайдеру рознь. фраг могут резать где угодно. его не любит никто

bolvan · June 15, 2025, 10:01am

nfqws обрабатывает только несколько начальных пакетов соединения, если используется connbytes фильтр. скрипты запуска на linux его используют. поэтому работы у nfqws очень немного.
а вот если написать правило без коннбайтс или гонять winws на винде, тогда жор будет заметен