Zapret: обсуждение

TesterTi · February 28, 2026, 10:47am

Попробуйте выполнить шаги из этого поста https://ntc.party/t/zapret-обсуждение/726/9313
Думаю, сами все поймете)

yatolkosprosit · February 28, 2026, 11:19am

bolvan
SagePtr
TesterTi
Я ценю ваши попытки мне объяснить, но если вы думаете что все исчерпывающе мне объяснили, то вы меня недооцениваете. Потому что я ничего не понял. Ну кроме того, что 0x1603 - это первые два байта из tls client hello.

Почему именно два байта?
Почему их нужно выделять из файла, если во всех файлах первые байты одинаковые и это значение легко запомнить?
Как два байта, одинаковые для всех tls client hello (я проверил три штуки) могут заменить собой SNI или файл .bin, которые для разных сайтов свои индивидуальные?
Зачем нам вообще напрягаться и сначала заполучать пейлоад, а затем и загружать его в редактор?, если вот в примере, который я нашел
--dpi-desync-fooling=ts --dpi-desync=fake --dpi-desync-fake-tls-mod=sni=4pda.to,rnd
просто указано 4pda.to без всяких заморочек.

Ну еще кажется я понял, что blockchek для тестирования 16 Кб блокировок не подходит. Домены ведь не заблокированы наглухо и для блокчека они выглядят разблокированными.

TesterTi · February 28, 2026, 11:29am

Действительно, почему именно два?) Их может быть сколько угодно, пример - это всего лишь пример

Потому что в некоторых случаях нужен именно hex. Ну например, в amnezia. Или в goodbyedpi (там только sni и hex). Или в byedpi (если без рута нет возможности использовать файлы bin).
Если это не ваши случаи, и вам достаточно sni и пейлоадов в zapret, то можно и не напрягаться)

PirateSkull · February 28, 2026, 11:57am

Да действительно интересно. Вопрос хороший. Но у меня подобный параметр никогда не работал. всегда срабатывал либо fake.bin либо сокращенный 0x16031234567890(это просто пример).

Хотя стоп обманул. вот это работает --dpi-desync-hostfakesplit-mod=host=сайт из белого списка

Хотя это никак не связано с tls ну да ладно.

По поводу блокчека тоже согласен. Пишет что сайт не заблокирован, а по факту не открывается. приходится рандомно изобретать конфиг. Или искать чужие готовые решения.

SagePtr · February 28, 2026, 1:00pm

А это уже вопрос к тем, кто эту стратегию обхода придумал и чем он руководствовался. Возможно, бездумно копировал из разных стратегий обхода фрагменты в надежде, что всё заработает, и чудом заставил всё работать, хотя при фулинге по SNI на моём провайдере тоже достаточно только fake-tls-mod, никакие заранее сдампленные пейлоады не нужны. У небезызвестного Flowseal вообще видел попытки разные пейлоады от разных протоколов запихнуть в одну и ту же стратегию, в надежде, что ТСПУ это схавает.

bolvan · February 28, 2026, 1:17pm

Почему именно такие, а не иные пейлоады ?
Потому что так устроен ТСПУ. Нащупаны некоторые повадки его поведения. Где он прокалывается, где его алгоритмы дают сбой. Алгоритмы несовершенны и упрощены, поскольку иначе требования к железу возрастают кратно и стоимость тоже.
Он как слоеный пирог - бывает несколько колец защиты, и каждое надо протыкать чем-то своим.
Потому иногда и нужны несколько фейков разных

TesterTi · February 28, 2026, 2:27pm

Это была моя кривая стратегия из темы https://ntc.party/t/16кб-блокировка/22516

--dpi-desync=fake --dpi-desync-fake-tls-mod=rnd,sni=домен_из_белого_списка --dpi-desync-fake-tls=files\домен_из_белого_списка.bin --dpi-desync-fake-tls=0x1603...

Это не рабочая стратегия, а просто пример, как можно задавать фейковые данные. Сейчас этот пример подправлен.

На https да, а для http и quic нужны пейлоады

Mickern · February 28, 2026, 6:41pm

Откройте бинарный файл .bin фейка в двоичном (hex) редакторе. Например, FlexHEX, GHex. Слева вы увидите что-то вроде 1A 45 DF и т.д. Т.е. две цифры или буквы, разделенных пробелом, которые идут друг за другом. Но как их перенести в текстовый (не бинарный) конфиг? Их можно просто “перепечатать” (скопировать), убрав пробелы. Ну, автоматически, конечно. ~~Не очень тривиально, но ИИ поможет~~. Напоминает как кодировали файлы в текстовый формат электронной почты. Это очень неэффективно правда, в плане занимаемого места.

Помимо ограничений прог, которые принимают только hex, при ручном получении фейков мы получаем фирменные фейки браузера. Они немножко отличаются от тех, что генерит прога. Более настоящие. Например, у каждого клиента (браузера) свой набор шифров.

3ph · March 1, 2026, 10:01am

В хостлист, или в хостфайл? Если у вас открылось без смены ip, хотелось бы увидеть стратегию )

HasherLoc · March 1, 2026, 11:21am

Он больше не открывается, вангую что либо владелец сайта либо cloudflare добавили мой ипишник в чс )

3ph · March 1, 2026, 4:37pm

А если добавить в файл hosts что-то вроде

Спойлер

104.20.1.101 windscribe.com www.windscribe.com

и использовать обычную стратегию с отправкой фейка, то работает? Должно работать. Только при выборе ip нужно учитывать, что не каждый из них может подойти Zapret: обсуждение - #9229 by Quqas

Посмотрел в шарке, что происходит. Фейк благополучно уходит и заканчивает свой путь на дальнем хопе прямо перед самим ip виндскрайба. Об этом приходит icmp уведомление от хопа с ttl expired, но соединение глохнет. При смене ip, однако, все работает как часы. Вывод: блочат именно по ip или по каким-то другим критериям, как писалось здесь самим автором Zapret: обсуждение - #9259 by bolvan
Хотелось бы только быстро и эффектино находить такие блокировки, чтобы не тратить время на подбор стратегий. По идее блокчерекер и IP-Checker (выше) могут помочь, но у меня пока не дошли руки это проверить.

0ka · March 1, 2026, 4:42pm

к какому айпи подключение до смены?

HasherLoc · March 1, 2026, 5:48pm

Не, не помогает, я даже ради пробы выключил tls1.2 в браузере и всё равно не заходит ) Возможно надо перебирать домены которые можно подсунуть сайту, но мне лень таким заниматься )

TesterTi · March 1, 2026, 5:53pm

А кэш днс сбрасывали?

HasherLoc · March 1, 2026, 6:00pm

На линухе он у меня при переключении соединения сбрасывается )

jestxfot · March 1, 2026, 6:32pm

Не обязательно, учите подробнее этот мир
Кстати спасибо за напоминание о том что эти кошельки существуют вообще

3ph · March 1, 2026, 8:42pm

К стандартному, который 1.1.1.1 возвращает. Об этом было выше.

Возможно чтобы заработало нужно еще сни вставить от 4пда

Спойлер

Enter domain (for example, youtube.com) : windscribe.com
------------------------------------------------------------------------------
Asn: AS13335
------------------------------------------------------------------------------
Sni N1: 1muslimapp.com
Sni N2: 4pda.to
Sni N3: 9gag.com
Sni N4: 9mod.com
Sni N5: adapty.io
Sni N6: adbtc.top

Утилита (батник) от TesterTi.

ErVitaly · March 2, 2026, 3:48pm

У меня вопрос по доступу к сайтам за DigitalOcean. Если выключить Zapret, то доступ к сайтам есть, но есть 16к. Если включить с моей стратегией, то открывается почти всё и без 16к, а сайты за DO становятся недоступными совсем. Если из страты убрать fake, то DO доступны, но 16к остаётся. И отваливаются некоторые другие. Например, Х.COM без фейка не пробивается. Менял фейки, SNI и прочие варианты - результат стабилен. Что интересно: если сайт за DO добавить в исключения - это не даёт результата. Нет даже 16к. Он просто недоступен.
Как подружить DigitalOcean со всеми остальными? Провайдер местный. Стратегия без наворотов. Взял классику от Bolvan и кое-что добавил по опыту.

Многие сайты работают просто потому, что имеют поддержку ipv6. Слава моему провайдеру, что 6in4 от HE он не трогает. А в моих стратах не трогается ipv6.

PirateSkull · March 2, 2026, 4:28pm

Стратегия с фейком или без? Можно прогнать заблокированные сайты типо aol, bbc, rutracker. Посмотреть что выдаст блокчек. Далее делать выводы. Что подходит больше.

Hentay · March 2, 2026, 4:29pm

Сделать список
Приправить стратегией
Найти белый SNI для DO

PS почему-то все забыли об “множественно стратегии”