Zapret: обсуждение

PirateSkull · September 15, 2024, 4:47pm

Ок спасибо вам за замечательную прогу. И что объяснили как это работает

wigeance · September 15, 2024, 4:48pm

А если мы про openwrt говорим, то можно же по идее повесить tpws чисто для сплита с листом *.googlevideo.com, а nfqws для всего остального с fake,split2 и list-exclude *.googlevideo.com?

И еще вопрос syndata сильно садит скорость, даже если стратегия просто --dpi-desync=syndata, сразу видно падение скорости (даже на спидтесте, но и сайты заметно медленнее грузит). Это всегда так или я что-то упускаю?

bolvan · September 15, 2024, 4:49pm

я так думаю у вас проблема неработы этой стратегии на ютубе в дефолтном фейке

стоит так попробовать
–wf-tcp=80,443 --wf-udp=443 --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-autottl=2 --dpi-desync-ttl=2 --dpi-desync-fooling=md5sig --dpi-desync-fake-tls=<PATH_TO>\tls_clienthello_www_google_com.bin

файл tls_clienthello_www_google_com.bin есть в последнем win bundle в blockcheck/zapret/files/fake

bolvan · September 15, 2024, 4:54pm

В принципе можно, но придется или писать кастом скрипт , или руками это запускать

не должно. syndata не ограничивается hostlist, но скорость садить не должна
это просто посылка липы в SYN пакете, которая игнорится серваком

arinoki · September 15, 2024, 9:41pm

Возможно глупый вопрос, но всё же.
А я правильно понял, что --dpi-desync-split-seqovl-pattern это аналог --dpi-desync-fake-tls, но в случае использования --dpi-desync-split-seqovl, а не fake ?

Kolobok · September 16, 2024, 4:10am

nfqws поддерживает опцию --hostlist, так что можно просто второй экземпляр запустить, внучок.

bolvan · September 16, 2024, 5:45am

Почти. Только целый файл - это целый файл определенного размера. Он и передается.
А паттерн - это повторяющийся шаблон, который размазывается на размер, определяемый другими параметрами

bolvan · September 16, 2024, 5:45am

Не все так просто, дедушка

hoztasun · September 16, 2024, 8:49am

Думаю, можно запустить два (и более) инстанса nfqws с разными стратегиями и hostlist на разных nft очередях и в nftables прописать последовательное применение этих очередей.

Но это, конечно, не то же самое, как если бы один инстанс nfqws сам разруливал какую стратегию ему применять в зависимости от host. Для этого надо видимо какой-то развесистый json конфиг прикручивать.

bolvan · September 16, 2024, 9:08am

Нельзя повесить 2 очереди. NFQUEUE - final target
А если бы и можно было, то это хреновый оверхед.
Я щас делаю мультистратегию. Будет типа такого.

–hostlist a --dpi-desync=split2 --new --hostlist b --dpi-desync=disorder2 …
будет еще фильтр по портам и версиям ip
так что можно будет все запихнуть в 1 инстанс, даже автолисты

плохо только, что народ начнет злоупотреблять этим
там, где стратегии можно было бы обьединить, они начнут писать крокодилов

hoztasun · September 16, 2024, 9:33am

Да, видимо только через разные ipset’ы.

Элегантно. А дефолтную стратегию при этом можно будет задать? Для хостов не из a, b, …?

bolvan · September 16, 2024, 9:48am

Поиск идет до первого match.
Если не написать никаких фильтров, то match всегда true.
Это и есть дефолтная стратегия

hoztasun · September 16, 2024, 10:19am

Понял. Не воспринял сразу, что разделителем стратегий является --new.
Думал, что --hostlist

rulonboev · September 16, 2024, 10:54am

Подскажите, а можно ли для каждого сайта делать свои настройки обхода?
А то blockcheck нашел для одного сайта 1 вариант настроек, я для другого сайта другой… и получается так что: или один сайт работает или другой.
Обьединение настроек не дает эффекта для одного из сайтов, все равно не работает. А по раздельности если прописывать варианты настроек, то работают то один то другой в зависимости какие настройки были прописаны.

hoztasun · September 16, 2024, 11:00am

Вот выше про это и написано. У @bolvan в планах реализовать мультистратегию, чтобы можно было к разным наборам хостов применять свою стратегию.

Прямо сейчас из коробки нельзя, как я понимаю. Надо либо использовать одновременно nfqws и tpws для разных хостов, либо колдовать с несколькими инстансами nfqws и ipset’ами.

rulonboev · September 16, 2024, 11:12am

окей… ждемс!

arinoki · September 16, 2024, 6:02pm

Хм, спасибо. То есть в целом такая конструкция адекватна?
"C:\Users\sora\Downloads\Soft\git\zapret-win-bundle\zapret-winws\winws.exe" --wf-l3=ipv4 --wf-tcp=443 --dpi-desync=disorder2 --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2 --dpi-desync-split-seqovl-pattern=C:\Users\sora\Downloads\Soft\git\zapret-win-bundle\blockcheck\zapret\files\fake\tls_clienthello_www_google_com.bin

bolvan · September 16, 2024, 6:16pm

Неадекватна

seqovl добавляет в начало первой отсылаемой части оригинального пакета (1 часть для split и 2 часть для disorder) seqovl байт со смещенным в минус sequence number на величину seqovl.

Из файла будет использован лишь 1 байт

Скрытый фейк обычно так делается
–dpi-desync=split2 --dpi-desync-split-seqovl=652 --dpi-desync-split-pos=2 --dpi-desync-split-seqovl-pattern= tls_clienthello_www_google_com.bin

652 - размер полезных данных из файла. в данном случае там все данные полезны, потому =размеру файла

arinoki · September 16, 2024, 6:30pm

О, спасибо больше за разъяснение. А что вообще можно почитать в качестве технической базы по сетям в контексте блокировок и их обхода? Необязательно на русском.

Xunlei · September 16, 2024, 6:42pm