Супер лист. Теперь я даже не удивлен почему что-то не работает.
Тут нужно делить лист на более мелкие и … применять под каждый блок свой обход
Да. Если не поможет попробуй такое
--filter-tcp=443 --hostlist="%LISTS%list-general.txt" --dpi-desync=multidisorder --dpi-desync-split-pos=1
Отец показывает 1 раз как нужно писать стратежки (Флоусил, сит даун плиз):
--filter-tcp=80,443 --hostlist="%~dp0!netrogat.txt" --new^
--filter-tcp=443 --ipset="%~dp0lists\russia-youtube-ipset.txt" --dpi-desync=syndata --dpi-desync-fake-syndata="%~dp0fake\syndata_packet.bin" --dup=1 --dup-cutoff=n2 --new^
--filter-udp=443 --hostlist="%~dp0lists\russia-youtubeQ.txt" --dpi-desync=fake,udplen --dpi-desync-udplen-increment=4 --dpi-desync-fake-quic="%~dp0fake\quic_1.bin" --dpi-desync-cutoff=n2 --dpi-desync-repeats=2 --new^
--filter-tcp=443 --hostlist-domains=googlevideo.com --hostlist="%~dp0lists\russia-youtube.txt" --dpi-desync=multisplit --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=4,midsld+2 --dpi-desync-split-seqovl-pattern="%~dp0fake\tls_clienthello_1.bin" --new^
--filter-tcp=80,443 --hostlist-domains=cloudflare-ech.com,encryptedsni.com --dpi-desync=multidisorder --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2,midsld+2 --dpi-desync-cutoff=n4 --new^
--filter-tcp=80 --hostlist="%~dp0!myhostlist.txt" --hostlist="%~dp0lists\russia-blacklist.txt" --dpi-desync=fake,multisplit --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2,midsld+2 --dup=1 --dup-cutoff=n2 --dup-autottl --new^
--filter-tcp=443 --hostlist="%~dp0!myhostlist.txt" --hostlist="%~dp0lists\russia-blacklist.txt" --dpi-desync=fake,multidisorder --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=6,midsld+2 --dpi-desync-fake-tls="%~dp0fake\tls_clienthello_2.bin" --dpi-desync-fake-tls-mod=rnd,dupsid --dpi-desync-fooling=badseq --dup=1 --dup-cutoff=n2 --dup-autottl --new^
--filter-tcp=443 --hostlist="%~dp0lists\russia-discord.txt" --dpi-desync=fake,multidisorder --dpi-desync-split-seqovl=1 --dpi-desync-split-pos=2,midsld+2 --dpi-desync-fake-tls="%~dp0fake\tls_clienthello_3.bin" --dpi-desync-fake-tls-mod=rnd,dupsid,sni=rkn.petuhi.co-co-com --dpi-desync-fooling=badseq --dup=1 --dup-cutoff=n2 --dup-autottl --new^
--filter-udp=443 --hostlist="%~dp0lists\russia-discord.txt" --dpi-desync=fake --dpi-desync-fake-quic="%~dp0fake\quic_2.bin" --dpi-desync-repeats=6 --new^
--filter-udp=50000-50099 --dpi-desync=fake --dpi-desync-any-protocol --dpi-desync-cutoff=d3 --dpi-desync-repeats=6 --new^
--filter-tcp=443 --hostlist-auto="%~dp0!autohostlist.txt" --hostlist-auto-retrans-threshold=5 --dpi-desync=fake,fakedsplit --dpi-desync-split-pos=1 --dpi-desync-fake-tls="%~dp0fake\tls_clienthello_2.bin" --dpi-desync-fooling=badseq
Не отец.
Если посмотреть в некоторые листы, то очень совпадает )
Господи, слейся, клоунич. В каждой теме затычка. По факту ничего не можешь посоветовать, кроме как налить воды в духе капитана очевидность.
а дискорд точно по quic:443 работает? я не так давно себе настраивал, и везде (провод+моб.) заметил, что хэндшейк устанавливается только, если фейк не доходит до сервера (через ttl)
--filter-udp=443 --hostlist="%~dp0\dis.txt" --dpi-desync=fake --dpi-desync-fake-quic="%~dp0\initial_1.1.1.1.bin" --dpi-desync-ttl=4
Дискорд можно ещё в браузере запускать же.
P.S. Никогда не тестировал работоспособность TTL для UDP, ничего не могу сказать по этому поводу.
Вход в приложение по tcp работает. Там фейк нужно обязательно подставлять. А голос по УДП 50k.
речь шла именно о твоем конфиге) у меня приложение дис на 99% работает на чистом квике кроме апдейтера. но только если фейк не доходит до сервера
поэтому я и удивлен, что во всех популярных сборках и конфигах этого нет (речь идет о ttl)
Слишком локальное решение. Как и пускать апдейтер через тот же multisplit. Не надёжно. Я же не только для себя сборки делаю. Если у вас так работает, то это хорошо. Но сколько оно так ещё проработает - не известно. Собственно, по этой же причине стараюсь тестировать сборку без QUIC и Kyber в браузере. Они только проблем добавляют в данный момент
Вы фейк какой делали? У меня с этими двумя вообще ютуб не грузится
[QUIC_Initial][Chrome 115 (IPv4)][fonts.google.com][2025.07.16 03-55-47].bin
[TLS_ClientHello][Chrome 131 (ML-KEM curve)][fonts.google.com][2025.07.16 03-55-47].bin
Это старый конфиг kds, он у меня давно плохо работать стал.
Во всех браузерах одинаково Chrome, Brave, Firefox.
Адрес конкретно моего я не писал, думаю тут не стоит их палить.
Где-то увидел Ваше размышление по поводу применения сразу нескольких фильтров на одном ТСПУ (при наличии в маршруте двух ТСПУ такое вполне нормально) и данная мысль показалась мне верной.
По моим играм со стратегией не только своего провайдера, но и у других пришёл к предварительному выводу что это уже реализовано.
Поэтому исхожу из мысли, что стратегиям приказано становится всё сложнее и многогранее, в попытках отбиваться от множественного анализа с разных сторон.
Думается, время простых стратегий почти ушло.
В связи с этим возникло 2 вопроса:
- По Вашему мнению, техническая начинка вероятно позволяет анализировать пакеты по разным сигнатурам, хоть и тем самым удлиняя время нахождения пакетов в ТСПУ на доли миллисекунд? Или всё таки железо уже работает на пике своих возможностей, особенно по утрам и вечерам в пик литья трафика?
- Вторая Ваша мысль о том, что в скором времени придётся пробиваться к выходу в ВПН который уже будет без блокировок - напугала и показалась преждевременной.
Но если, или когда, это наступит, то разве в этом будет смысл, если они просто тупо начнут точечно банить IP как в Китае?
и каким образом управлять фейком по UDP?
в принципе нету такой возможности
это разные уровни osi, все работает
Спойлер
Спойлер
кто может глянуть?
anydesk.pcapng (23,1 КБ)
запрет такой нестандартный TLS в принципе может переварить или нет?
–dpi-desync-skip-nosni=0 и лаже --dpi-desync-any-protocol
не хотят помогать
судя по логу запрет даже видит clienthello но менять его не желает
это адрес 1й из нод анидеска. не свезло ему быть на ip с 16к и соответственно если клиент к ней подключен то и компом управлять нельзя. при том что другие ноды (минимум ещё 1) избежали такой участи
неактуально
т.е. разрешилось удачно.запрет смог!
там же нет sni в пакете. если ты делаешь через хостлист, то вероятно нужно менять на ипсет.
ясенкрасен
первым идёт ipset
а дальше чтоб наверняка ни порты ни даже версию ip не указываю
это в рамкой 1й стратегии\инстанса winws(запрета)
т.е. даже до подбора фейка не подошли пока - по логу пишет что пропускает
хотя допускаю что я чтото не так делаю
+блокчек ищет стратегию то по имени и даже находит. но тут sni нету
так какой смысл мне пытаться угадывать в чем ты ошибся. выложи полный конфиг тогда станет понятно.
может у тебя там фейк идет к TLS (а не unknown) или где-то в фильтрации ошибка, откуда мне знать
я для себя похожий кейс решил через any-protocol+seqovl-pattern+cutoff
в любом случае bolvan сорри за активный постинг в последнее время, больше не буду.
начало с
winws.exe --debug=@"c:\1.txt" --ipset-ip=138.199.36.120 --wf-tcp=80,443 --dpi-desync-skip-nosni=0 --dpi-desync=fake
дальше пока не важно
вклинилось другое:
- в итоге заработало и подключился
- влияет версия анидеск
- почемуто новый инстанс со старым не дружит хотя жёсткий фильтр по ip
я имел в виду программную архитектуру одного дпи
она модульная
почитайте доки по рдп дпи. там активируются модули по желанию
один из модулей блокиратор по списку
он отлажен и его не меняют
а потом добавляют непубличные модули под заказ ркн
защита от фейков, 16 кб и тд
эти модули выполняются последовательно, связь между ними только в исполнительном механизме. оффлоадный блокиратор соединений
такова моя гипотеза
- у меня нет инфы, нужен инсайд
- чтобы занести ип в динамический блок сначала нужно основание. хотя бы сигнатурные основания запрет может замазать. статистические уже нет