Zapret: обсуждение

частично открывает некоторые сайты
я пока использую старую стратегию с --dpi-desync-ttl=1, некоторые сайты у меня отвались, но пока что ничего универсального не подобрал, может bolvan что не будь придумает посвежее

ну а для вашей этой стратегии, можно временно создать блеклист и накидать в него нужные вам сайты которые открываются через неё как вариант
можно добавить в неё --dpi-desync-fooling=badseq
но если для роутера, то только с блэклистом, так как там где fake-tls будет нагрузка большая если использовать без блеклиста, срабатывая на все соединения роутер может потухнуть )

проверялки сейчас работают против совсем простых фильтров
DPI пропускает первые “несколько” килобайт

как вариант (если только SNI режут. если проверяют IP + SNI то не поможет.)

curl -4 --tlsv1.3 --http2 -o NUL -k --connect-to ::speedtest.selectel.ru https://ntc.party/10MB -w %{speed_download}

curl -4 --tls-max 1.2 --http2 -o NUL -k --connect-to ::speedtest.selectel.ru https://ntc.party/10MB -w %{speed_download}

РТ Ростовская область. Взял дефолтный preset_russia.cmd
По совету на Гитхабе убрал из него “fake” в строке --filter-tcp=443, а там где дело касалось Ютуба оставил без изменений. Пока всё устраивает.
Полный конфиг (не забудьте кавычки поменять на прямые!):

start “zapret: http,https,quic” /min “%~dp0winws.exe” ^
–wf-tcp=80,443 --wf-udp=443,50000-50099 ^
–filter-tcp=80 --dpi-desync=fake,fakedsplit --dpi-desync-autottl=2 --dpi-desync-fooling=md5sig --new ^
–filter-tcp=443 --hostlist=“%~dp0files\list-youtube.txt” --dpi-desync=fake,multidisorder --dpi-desync-split-pos=1,midsld --dpi-desync-repeats=11 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls-mod=rnd,dupsid,sni=www.google.com --new ^
–filter-tcp=443 --dpi-desync=multidisorder --dpi-desync-split-pos=midsld --dpi-desync-repeats=6 --dpi-desync-fooling=badseq,md5sig --new ^
–filter-udp=443 --hostlist=“%~dp0files\list-youtube.txt” --dpi-desync=fake --dpi-desync-repeats=11 --dpi-desync-fake-quic=“%~dp0files\quic_initial_www_google_com.bin” --new ^
–filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=11 --new ^
–filter-udp=50000-50099 --filter-l7=discord,stun --dpi-desync=fake

Масло масляное. Дефолтный фейк = 0x00

P.S. Кто там на zapret выкрутил repeats, признавайтесь

img.PNG1001×1172 174 KB

Мусорный траффик в дудос атаках всегда использовался и до появления запрета.

вот эти умники со своими repeats=20 n10 any-protocol )
https://github.com/Flowseal/zapret-discord-youtube/issues/3265

дефолтный - майкрософт ком

Не, мусорный трафик начал использоваться с появлением сборочек от flowseal

Факты

Всегда думал, что дефолт это 0x00. Буду знать, спасибо)

Кто нибудь знает как подобрать стратегию для сайтов TLS 1.2 only по типу следующих:

abs.twimg.com
psiphon.ca
animejoy.ru

Пробовал много разных стратегий но результат всегда один - timeout запроса на эти сайты.
Отвалилось это позавчера, до недавнего времени работало.
Пробовал различные стандартные фейки подставлять в такие стратегии (--dpi-desync= fake,multidisorder; --dpi-desync=fake,multisplit) и параметр --wssize=1:6 тоже пробовал.

У меня только SNI. А всё же почему во время работы проверялки прекращает резаться тот же pbs.twimg.com? Буквально на первой же стратегии, которая в итоге не рабочая, загружается медиафайл явно больше мегабайта. Хочется понять, можно ли какой-то флаг выставить, чтобы извлечь пользу из этого.

У меня abs.twimg и streamable завелись стратегией из моего поста выше но как уже написали да, их надо в отдельный лист ибо не универсальная стратегия и часть остального ломает

Привет. Спасибо за ответ.
Нет, к сожалению с Вашей стратегией с 1 фейком у меня не сработало.
Попробовал после фейка отправлять по типу простого split и поставил ограничитель на фейк badsum.
Но у меня не заработало и так.
Да, под TLS1.2 как будто новый лист отдельный нужен.

Так как я просто ради эксперимента пихнул единственный вариант что мне blockcheck выдал возможно он что выдаст и тут. Можно выбирать быструю проверку, стандартная это смотрение на тот же code 28 но дольше

Всё ещё не могу подобрать ни одну стратегию под pbs.twimg и голый Запрет. Прогнал весь blockcheck.sh (v71.1.1) в режиме force, он выдал под сотню «available», я протестировал их все по очереди — без толку. А запускаю Гудчек и в браузере pbs.twimg загружается на нерабочих стратегиях во время долбежки Гудчека.

?..

Есть какая нибудь стратегия под билайн?

еще добавлю последнее дополнение по поводу orig
судя по всему с orig-ttl=fake ttl я переусложнил (и вероятно, это не предполагалось изначально), т.к хоть и работает, но может приводить к различным глюкам . например, когда комп считает, что оригинал client hello не дошел до сервера и продолжает его бесконечно отправлять. поэтому тут надо разбираться

гораздо более легкий вариант - это просто понижение ttl первых оригинальных пакетов: orig=ttl сервера либо чуть больше (при этом сам fake-ttl может потребоваться поднять, т.к разница между фейковыми и оригинальными пакетами проверяется не больше определенной)
количество хопов, я так понимаю, нужно смотреть не через icmp? (потому что не всегда работает)
либо попробовать настроить fake и orig через autottl

У меня сначала говорит что на pbs.twimg.com соединение небезопасное потом 400.
различные даундетекторы говорят тоже самое

Ну если нельзя определить по хопам ттл, остается только наугад брать
В среднем это значение 6, в максимуме что-то около 20
Если 6 то получается
orig-ttl=4
ttl=5 (тут фейк)

По сути тут 2 задачи:

• Преодолеть РКН оригиналом и фейком
• Не сломать окончательно сайт, который запрашиваем.

По сути как-то так

Запускайте блокчек в прогонов 7 и ищите стратегию, дальше тестируйте и выбирайте ту, что пробьет большинство сайтов

скорее всего я опять все усложнил. (потому что мне ртк опять включил вторую коробку из-за этого я запутался)
вот, сделал небольшое тестирование, где второй коробки нет

Спойлер

изображение1846×541 18.4 KB

Скорее всего