Zapret: обсуждение

Это похоже на sniff в x-ray. Задержка соединения в надежде на получение какой-то инфы, по которой можно принимать решения.
Теоретически возможно, но в tpws это не реализовано. Да и метод --mss не настолько ценен, чтобы ради него заморачиваться. Ломает многое, скорость режет зверско. Он сделан для точечного пробития, когда ничего больше не помогает.
–wssize в nfqws достигает тех же целей с гораздо меньшими проблемами.

Возвращаясь к теме вероятного stateless. Я тут ещё потестировал на трех особо проблемных серверах.

curl -sv -o NUL --http3-only -X POST https://rr2---sn-gvnuxaxjvh-o8ge.googlevideo.com
curl -sv -o NUL --http3-only -X POST https://rr6---sn-ug5onuxaxjvh-n8v6.googlevideo.com
curl -sv -o NUL --http3-only -X POST https://rr3---sn-ug5onuxaxjvh-p3ul.googlevideo.com

В итоге, с двойной отправкой, у меня проходят вот такие пейлоады, состоящие, в основном, из мусора:
quic_test_00.bin (144 байта)
quic_test_FF.bin (144 байта)

Можно сделать определенные выводы по поводу того, что именно проверяется в пейлоаде, а что можно зарандомить:

Спойлер

ff976×610 22.3 KB

Там где потенциальный stateless у меня еще как-то через раз на в6 ipfrag1 срабатывает. Причем как-то очень странно, если делать curl -v --http3-only ,то первая попытка уйдет по таймауту, а вторая или третья пройдет

Здравствуйте,я так понял это все для винды конфиги,а есть ли для роутера keenetic рабочий вариант zapret или не существует?

Действительно, эти пробиваются initial-ом с 2 раза.
А остальным надо 11 раз initial кормить, чтобы пробить.
Если же остальным кормить дефолт short header, то с 2 раза пробивается или даже с 1
Причем на ipv4 и ipv6 поведение разное но моем прове

Кто-то прикручивает, но это неофициально. Автор этим не занимается. У них и спрашивайте.

Подскажите пожалуйста, чего-то я не догоняю. Есть вот такая рабочая стратегия:

С ней работает yuotube нормально и почти все сайты, большинство неработающих начинает работать, если заменить “split2” на “disorder2”. Есть еще один ресурс, которому нужно “–dpi-desync=fake,disorder2 --dpi-desync-ttl=5”. Пробую написать мультистратегию, чтобы работало все сразу. Получается вот так:

Так работает все, кроме ютуба, даже главная страница не грузится. Не могу понять где ошибка.

ВАЖНО : множественные стратегии создавались только для случаев, когда невозможно обьединить имеющиеся стратегии для разных ресурсов. Копирование стратегий из blockcheck для разных сайтов во множество профилей без понимания как они работают приведет к нагромождению параметров, которые все равно не покроют все возможные заблокированные ресурсы. Вы только увязните в этой каше.

смотря на спойлер ньюбая вспомнил эти слова)

Моя не из блокчека изначально, а из мануала найденного на просторах сети. И оттуда почти нечего выкидывать, разве что “cutoff=d4” и “badsum”, но это ничего не меняет. Если выкинуть что-то еще, то она работать перестанет.

Выкиньте из вашей первой стратегии --dpi-desync-ttl=0 который ничего не делает, попробуйте заменить badsum на badseq, добавьте --dpi-desync-split-seqovl=1 к варианту со split2 (попробуйте убрать --dpi-desync-split-pos=1, либо заменить 1 на 2). cutoff тоже попробуйте выкинуть. В теории у вас и ютуб и “еще один ресурс, которому нужно” могут завестись и без мультистратегий.

Так работает все, кроме того самого одного ресурса, ему нужно рубить фейки по TTL, по-другому никак.

На первый взгляд прическа выглядит так :

start “zapret: http,https,quic,hostlist” /min “%~dp0winws.exe” --wf-tcp=80,443 --wf-udp=443 ^
--filter-udp=443 --hostlist=“%~dp0#youtube-list.txt” --dpi-desync=fake --dpi-desync-fake-quic="%~dp0quic_initial_www_google_com.bin" --dpi-desync-repeats=2 --new ^
--filter-udp=443 --dpi-desync=fake --dpi-desync-repeats=2 --new ^
--filter-tcp=443 --hostlist=“%~dp0#minimum-impact-list.txt” --dpi-desync=fake,disorder2 --dpi-desync-ttl=5 --dpi-desync-fooling=md5sig --new ^
--filter-tcp=443 --hostlist=“%~dp0#youtube-list.txt” --dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig,badsum --dpi-desync-fake-tls=“%~dp0tls_clienthello_www_google_com.bin” --new ^
--filter-tcp=80 --hostlist=“%~dp0#youtube-list.txt” --dpi-desync=fake,split2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig,badsum --new ^
--hostlist=“%~dp0#russia-list.txt” --hostlist=“%~dp0#russia-additional-list.txt” --dpi-desync=fake,disorder2 --dpi-desync-split-pos=1 --dpi-desync-fooling=md5sig,badsum

Тут добавляется файл quic_initial_www_google_com.bin
Сегодня выяснили, что особые GGC не пробиваются стандартным фейком
Но, разумеется, это не пиллюля. Не факт, что стратегии работают.
Надо смотреть дебаг куда в какой профиль что лезет и броузер F12 на предмет затыков
И все тщательно проверить курлом с разными протоколами.

Попробуйте в своей изначальной стратегии заменить md5sig,badsum на badseq банально. Самое простое объяснение по которой что-то конкретное не открывается - это что оно не на линукс-сервере стоит. Тот же порнхаб с md5sig не открывается.

Ну, конечно, дело хозяйское. Я прост советую…

badsum работает на любых серваках, кроме очень немногих. cloudflare, например, почему-то не проверяет сумму. видимо ddos оборудование ее фиксит в процессе исследования. или какой-то оффлоад. но md5sig срабатывает.
но badsum может стать и проблемой, если пропускается через домашний роутер.
если там не openwrt или чипсет медиатек и подключение через кабель, вероятно порежет фейк

У меня badsum с 443 портом вообще не работает. Я полагал что из-за роутера моего как раз. Но при этом с 80 работает прекрасно. Хз почему так. Роутер кинетик гига, стоковая прошивка.

на некоторых провайдерах почему-то не работает. может DPI сечет бадсум и игнорирует
вообще пакеты с бадсум доходят до моего VPS

Можно в личку настройки для мобильного Би чтобы ютуб тянул, заранее признателен?

Попробовал, не помогло. Ресурс, если что - pimpletv.ru

Спасибо, но не помогло, ютуб также зависает на открытии главной страницы. Надо debug включать и разбираться. Дело не в пейлоаде quic, старый конфиг без него работает, но если из него убрать “–dpi-desync-any-protocol”, то ютуб отваливается.