2024-06-08 19:51:03 +03:00
|
|
|
|
Implementation of some DPI bypass methods.
|
|
|
|
|
The program is a local SOCKS proxy server.
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
2024-06-08 19:51:03 +03:00
|
|
|
|
Usage example:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
```
|
2024-08-01 20:45:03 +03:00
|
|
|
|
ciadpi --disorder 1 --auto=torst --tlsrec 1+s
|
2024-07-22 01:03:12 +03:00
|
|
|
|
ciadpi --fake -1 --ttl 8
|
2024-08-14 11:09:56 +03:00
|
|
|
|
```
|
2024-06-08 19:51:03 +03:00
|
|
|
|
|
2024-07-22 01:08:05 +03:00
|
|
|
|
------
|
2024-07-22 01:03:12 +03:00
|
|
|
|
### Описание аргументов
|
2024-08-14 11:09:56 +03:00
|
|
|
|
```
|
2024-02-20 21:53:05 +03:00
|
|
|
|
-i, --ip <ip>
|
|
|
|
|
Прослушиваемый IP, по умолчанию 0.0.0.0
|
|
|
|
|
|
|
|
|
|
-p, --port <num>
|
|
|
|
|
Прослушиваемый порт, по умолчанию 1080
|
|
|
|
|
|
|
|
|
|
-c, --max-conn <count>
|
|
|
|
|
Максимальное количество клиентских подключений, по умолчанию 512
|
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
-I, --conn-ip <ip>
|
2024-02-20 21:53:05 +03:00
|
|
|
|
Адрес, к которому будут привязаны исходящие соединения, по умолчанию ::
|
|
|
|
|
При указании IPv4 адреса запросы на IPv6 будут отклоняться
|
|
|
|
|
|
|
|
|
|
-b, --buf-size <size>
|
|
|
|
|
Максимальный размер данных, получаемых и отправляемых за один вызов recv/send
|
|
|
|
|
Размер указывается в байтах, по умолчанию равен 16384
|
|
|
|
|
|
|
|
|
|
-g, --def-ttl <num>
|
|
|
|
|
Значение TTL для всех исходящий соединений
|
|
|
|
|
Может быть полезен для обхода обнаружения нестандартного/уменьшенного TTL
|
|
|
|
|
|
|
|
|
|
-N, --no-domain
|
|
|
|
|
Отбрасывать запросы, если в качестве адреса указан домен
|
|
|
|
|
Т.к. резолвинг выполняется синхронно, то он может замедлить или даже заморозить работу
|
|
|
|
|
|
2024-04-23 08:47:27 +03:00
|
|
|
|
-U, --no-udp
|
|
|
|
|
Не проксировать UDP
|
|
|
|
|
|
2024-03-21 21:44:17 +03:00
|
|
|
|
-F, --tfo
|
|
|
|
|
Включает TCP Fast Open
|
|
|
|
|
Если сервер его поддерживает, то первый пакет будет отправлен сразу вместе с SYN
|
|
|
|
|
Поддерживается только в Linux (4.11+)
|
|
|
|
|
|
2024-08-18 22:56:38 +03:00
|
|
|
|
-A, --auto <t,r,s,n>
|
2024-03-08 03:37:02 +03:00
|
|
|
|
Автоматический режим
|
2024-04-04 04:19:40 +03:00
|
|
|
|
Если произошло событие, похожее на блокировку или поломку,
|
2024-03-08 03:37:02 +03:00
|
|
|
|
то будут применены параметры обхода, следующие за данной опцией
|
2024-04-04 04:19:40 +03:00
|
|
|
|
Возможные события:
|
|
|
|
|
torst : Вышло время ожидания или сервер сбросил подключение после первого запроса
|
|
|
|
|
redirect: HTTP Redirect с Location, домен которого не совпадает с исходящим
|
2024-08-22 18:15:14 +03:00
|
|
|
|
ssl_err : В ответ на ClientHello не пришел ServerHello или SH содержит некорректный session_id
|
2024-04-23 08:47:27 +03:00
|
|
|
|
none : Предыдущая группа пропущена, например из-за ограничения по доменам или протоколам
|
2024-03-08 21:33:25 +03:00
|
|
|
|
|
|
|
|
|
-u, --cache-ttl <sec>
|
2024-03-13 22:18:16 +03:00
|
|
|
|
Время жизни значения в кеше, по умолчанию 100800 (28 часов)
|
|
|
|
|
|
|
|
|
|
-T, --timeout <sec>
|
|
|
|
|
Таймаут ожидания первого ответа от сервера в секундах
|
|
|
|
|
В Linux переводится в миллисекунды, поэтому можно указать дробное число
|
2024-03-17 00:19:14 +03:00
|
|
|
|
|
2024-07-29 22:14:57 +03:00
|
|
|
|
-K, --proto <t,h,u>
|
|
|
|
|
Белый список протоколов: tls,http,udp
|
2024-04-23 08:47:27 +03:00
|
|
|
|
|
2024-04-16 20:55:41 +03:00
|
|
|
|
-H, --hosts <file|:string>
|
|
|
|
|
Ограничить область действия параметров списком доменов
|
|
|
|
|
Домены должны быть разделены новой строкой или пробелом
|
|
|
|
|
|
2024-07-29 17:58:56 +03:00
|
|
|
|
-V, --pf <port[-portr]>
|
|
|
|
|
Ограничитель по портам
|
|
|
|
|
|
2024-03-05 23:22:12 +03:00
|
|
|
|
-s, --split <n[+s]>
|
2024-03-04 04:49:08 +03:00
|
|
|
|
Разбить запрос по указанному смещению
|
2024-03-17 00:19:14 +03:00
|
|
|
|
После числа можно добавить флаг:
|
2024-03-05 23:22:12 +03:00
|
|
|
|
+s: добавить смещение SNI
|
|
|
|
|
+h: добавить смещение Host
|
2024-03-04 15:30:23 +03:00
|
|
|
|
Можно указывать несколько раз, чтобы разбить запрос по нескольким позициям
|
2024-03-04 04:49:08 +03:00
|
|
|
|
При указании отрицательного значения к нему прибавляется размер пакета
|
|
|
|
|
|
2024-03-05 23:22:12 +03:00
|
|
|
|
-d, --disorder <n[+s]>
|
2024-03-04 04:49:08 +03:00
|
|
|
|
Подобен --split, но части отправляются в обратном порядке
|
|
|
|
|
|
2024-03-05 23:22:12 +03:00
|
|
|
|
-o, --oob <n[+s]>
|
2024-08-22 18:15:14 +03:00
|
|
|
|
Подобен --split, но часть отсылается как OOB данные
|
2024-08-18 22:56:38 +03:00
|
|
|
|
|
|
|
|
|
-q, --disoob <n[+s]>
|
2024-08-22 18:15:14 +03:00
|
|
|
|
Подобен --disorder, но часть отсылается как OOB данные
|
2024-03-05 23:22:12 +03:00
|
|
|
|
|
|
|
|
|
-f, --fake <n[+s]>
|
2024-03-04 15:30:23 +03:00
|
|
|
|
Подобен --disorder, только перед отправкой первого куска отправляется часть поддельного
|
2024-03-04 04:49:08 +03:00
|
|
|
|
Количество байт отправляемого из фейка равно рамеру разбиваемой части
|
|
|
|
|
|
2024-02-20 21:53:05 +03:00
|
|
|
|
-t, --ttl <num>
|
|
|
|
|
TTL для поддельного пакета, по умолчанию 8
|
|
|
|
|
Необходимо подобрать такое значение, чтобы пакет не дошел до сервера, но был обработан DPI
|
|
|
|
|
|
2024-04-08 23:09:51 +03:00
|
|
|
|
-k, --ip-opt[=file|:str]
|
2024-03-21 21:44:17 +03:00
|
|
|
|
Установить опции для фейкового IP пакета
|
|
|
|
|
Существенно снизит вероятность, что пакет дойдет до сервера
|
|
|
|
|
Стоит учесть, что до DPI он также может не дойти
|
2024-03-26 22:43:41 +03:00
|
|
|
|
В Windows поддержка может быть отключена
|
2024-03-21 21:44:17 +03:00
|
|
|
|
|
2024-03-26 17:15:34 +03:00
|
|
|
|
-S, --md5sig
|
|
|
|
|
Установить опцию TCP MD5 Signature для фейкового пакета
|
2024-03-26 22:43:41 +03:00
|
|
|
|
Большинство серверов (в основном на Linux) отбрасывают пакеты с данной опцией
|
|
|
|
|
Поддерживается только в Linux, может быть выключен в некоторых сборках ядра (< 3.9, Android)
|
2024-08-18 22:56:38 +03:00
|
|
|
|
|
|
|
|
|
-O, --fake-offset <n>
|
|
|
|
|
Сместить начало фейковых данных на n байт
|
|
|
|
|
|
2024-04-23 08:47:27 +03:00
|
|
|
|
-l, --fake-data <file|:str>
|
2024-08-18 22:56:38 +03:00
|
|
|
|
Указать свои поддельные пакеты
|
2024-02-20 21:53:05 +03:00
|
|
|
|
|
2024-08-22 18:15:14 +03:00
|
|
|
|
-e, --oob-data <char>
|
2024-08-18 22:56:38 +03:00
|
|
|
|
Байт, отсылаемый вне основного потока, по умолчанию 'a'
|
2024-02-29 20:07:59 +03:00
|
|
|
|
|
2024-02-20 21:53:05 +03:00
|
|
|
|
-n, --tls-sni <str>
|
|
|
|
|
Изменить SNI в fake пакете на указанный
|
|
|
|
|
|
|
|
|
|
-M, --mod-http <h[,d,r]>
|
|
|
|
|
Всякие манипуляции с HTTP пакетом, можно комбинировать
|
|
|
|
|
hcsmix:
|
|
|
|
|
"Host: name" -> "hOsT: name"
|
|
|
|
|
dcsmix:
|
|
|
|
|
"Host: name" -> "Host: NaMe"
|
|
|
|
|
rmspace:
|
|
|
|
|
"Host: name" -> "Host:name\t"
|
|
|
|
|
|
2024-03-05 23:22:12 +03:00
|
|
|
|
-r, --tlsrec <n[+s]>
|
2024-02-20 21:53:05 +03:00
|
|
|
|
Разделить ClientHello на отдельные записи по указанному смещению
|
2024-07-22 01:03:12 +03:00
|
|
|
|
Можно указывать несколько раз
|
|
|
|
|
|
2024-07-29 17:58:56 +03:00
|
|
|
|
-a, --udp-fake <count>
|
|
|
|
|
Количество фейковых UDP пакетов
|
2024-08-18 22:56:38 +03:00
|
|
|
|
|
|
|
|
|
-Y, --drop-sack
|
|
|
|
|
Игнорировать SACK, вынуждая ядро переотправить уже доставленные пакеты
|
2024-08-14 11:09:56 +03:00
|
|
|
|
```
|
2024-07-29 17:58:56 +03:00
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
------
|
2024-07-22 01:03:12 +03:00
|
|
|
|
### Подробнее
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`--split`
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
2024-04-09 22:15:52 +03:00
|
|
|
|
Разбивает запрос на части. Пример на запросе в 30 байт:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
- Параметры: `--split 3 --split 7`
|
2024-07-22 01:03:12 +03:00
|
|
|
|
- Порядок отправки: 1-3, 3-7, 7-30
|
2024-04-09 22:15:52 +03:00
|
|
|
|
|
2024-08-18 22:56:38 +03:00
|
|
|
|
Позиции следует указывать в порядке возрастания.
|
|
|
|
|
|
2024-07-22 01:08:05 +03:00
|
|
|
|
------
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`--disorder`
|
|
|
|
|
|
2024-04-09 22:15:52 +03:00
|
|
|
|
Часть, попадающая под disorder, будет отправлена с TTL=1, т.е. фактически не будет никуда доставлена.
|
2024-07-22 01:03:12 +03:00
|
|
|
|
ОС узнает об этом лишь после отсылки последующей части, когда сервер сообщит о потере с помощью SACK.
|
|
|
|
|
Системе придется отослать предыдущий пакет заново, тем самым нарушив обычный порядок.
|
2024-08-14 11:09:56 +03:00
|
|
|
|
- Параметры: `--disorder 7`
|
2024-07-22 01:03:12 +03:00
|
|
|
|
- Порядок отправки: 7-30, 1-7
|
2024-04-09 22:15:52 +03:00
|
|
|
|
|
|
|
|
|
Вышесказанное распространяется только на Linux.
|
|
|
|
|
В Windows выполняется полная ретрансмиссия:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
- Параметры: `--disorder 7`
|
2024-04-09 22:15:52 +03:00
|
|
|
|
- Порядок отправки: 7-30, 1-30
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
Поэтому желательно использовать ещё и `split`:
|
|
|
|
|
- Параметры: `--split 7 --disorder 23`
|
2024-04-09 22:15:52 +03:00
|
|
|
|
- Порядок отправки: 1-7, 23-30, 7-30
|
|
|
|
|
|
2024-07-22 01:03:12 +03:00
|
|
|
|
На практике оптимально использовать:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
* Linux: `--disorder 1`
|
|
|
|
|
* Windows: `--split 1+s --disorder 3+s`
|
2024-04-09 22:15:52 +03:00
|
|
|
|
|
2024-07-22 01:08:05 +03:00
|
|
|
|
------
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`--fake`
|
|
|
|
|
|
|
|
|
|
- Параметры: `--fake 7`
|
2024-04-09 22:15:52 +03:00
|
|
|
|
- Порядок отправки: 1-7 фейк, 7-30 оригинал, 1-7 оригинал
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
|
|
|
|
Данные в первой части запроса заменяются на поддельные.
|
2024-04-09 22:15:52 +03:00
|
|
|
|
Эта часть должна пройти через DPI, но не дойти до сервера.
|
2024-08-14 11:09:56 +03:00
|
|
|
|
А раз часть не дойдет, то ОС отправит ее снова, тем самым изменив порядок подобно `disorder`.
|
|
|
|
|
Для того, чтобы фейк не дошел до сервера, есть опции `ttl`, `ip-opt` и `md5sig`.
|
2024-04-09 22:15:52 +03:00
|
|
|
|
|
2024-07-22 01:03:12 +03:00
|
|
|
|
TTL необходимо подбирать такой, чтобы пакет прошел через все DPI, но не дошел до сервера.
|
|
|
|
|
Для Linux есть md5sig. Он устанавливает опцию TCP MD5 Signature, что не дает пакету быть принятым многими серверами.
|
2024-08-14 11:09:56 +03:00
|
|
|
|
К сожалению, md5sig работает не во всех сборках.
|
2024-04-09 22:15:52 +03:00
|
|
|
|
|
|
|
|
|
Для Windows есть еще один способ избежать обработки фейка сервером.
|
2024-08-14 11:09:56 +03:00
|
|
|
|
Это комбинирование `fake` с `disorder`:
|
|
|
|
|
- Параметры: `--disorder 1 --fake 7`
|
|
|
|
|
- Порядок отправки: 2-7 фейк, 7-30 оригинал, 1-30 оригинал
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
Если поддельный пакет и дойдет до сервера, то он будет перезаписан из-за полной ретрансмисси.
|
2024-04-09 22:15:52 +03:00
|
|
|
|
|
2024-07-22 01:03:12 +03:00
|
|
|
|
На практике оптимально использовать:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
* Linux: `--fake -1 --md5sig`
|
|
|
|
|
* Windows: `--disorder 1 --fake -1`
|
2024-04-09 22:15:52 +03:00
|
|
|
|
|
2024-07-22 01:08:05 +03:00
|
|
|
|
------
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`--oob`
|
|
|
|
|
|
|
|
|
|
TCP может отсылать данные вне основного потока, используя флаг URG, однако лишь 1 байт в пакете.
|
2024-04-09 22:15:52 +03:00
|
|
|
|
Все данные в таком пакете будут доставлены приложению, кроме последнего байта, который и является внеканальным:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
- Параметры: `--oob 3`
|
2024-04-09 22:15:52 +03:00
|
|
|
|
- Отправка: 1-4 с флагом URG (1-3 данные запроса + 4-й байт, который будет усечен), 3-30
|
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
Этот байт желательно помещать в SNI: `--oob 3+s`
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
2024-08-18 22:56:38 +03:00
|
|
|
|
------
|
|
|
|
|
`--disoob`
|
|
|
|
|
|
|
|
|
|
Схож с `--disorder`, но часть отправляется с OOB байтом:
|
|
|
|
|
- Параметры: `--disoob 3`
|
|
|
|
|
- Отправка: 3-30, 1-4 с флагом URG (1-3 данные запроса + 4-й байт, который будет усечен)
|
|
|
|
|
|
|
|
|
|
При использовании с `--fake` или `--disorder` можно получить пакет, где OOB байт будет находиться на месте разбиения:
|
|
|
|
|
- Параметры: `--disoob 3 --disorder 7`
|
|
|
|
|
- Отправка: 3-30, 1-8 с флагом URG (1-3 + байт который будет усечен + 4-8)
|
|
|
|
|
|
2024-07-22 01:08:05 +03:00
|
|
|
|
------
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`--tlsrec`
|
|
|
|
|
|
|
|
|
|
Одну TLS запись можно разбить на несколько, немного переделав заголовок.
|
2024-07-22 01:03:12 +03:00
|
|
|
|
На месте разбиения вставляется новый заголовок, увеличивая размер запроса на 5 байт.
|
2024-08-14 11:09:56 +03:00
|
|
|
|
|
2024-07-22 01:03:12 +03:00
|
|
|
|
Этот заголовок можно поместить в середину SNI, не давая возможность DPI правильно его прочитать:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`--tlsrec 3+s`
|
2024-04-09 22:15:52 +03:00
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
Хоть `tlsrec` и `oob` запутывают DPI, они также могут запутать всякие мидлбоксы, которые не поддерживают полноценный стек TCP/TLS.
|
|
|
|
|
Из-за этого их следует использовать вместе с `--auto`:
|
|
|
|
|
`--auto=torst --timeout 3 --tlsrec 3+s`
|
|
|
|
|
В примере `tlsrec` будет применяться лишь в случаях, когда сброшено подключение или вышел таймаут, т.е. когда, скорее всего, произошла блокировка.
|
2024-07-22 01:03:12 +03:00
|
|
|
|
Можно наоборот - отменять tlsrec, если сервер сбрасывает подключение или откидывает пакет:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`--tlsrec 3+s --auto=torst --timeout 3`
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
2024-07-22 01:08:05 +03:00
|
|
|
|
------
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`--auto`, `--hosts`
|
|
|
|
|
|
|
|
|
|
Параметр `auto` делит опции на группы.
|
2024-04-17 04:23:35 +03:00
|
|
|
|
Для каждого запроса они обходятся слева на право.
|
2024-08-18 22:56:38 +03:00
|
|
|
|
Сначала проверяется триггер, указанный в `auto`, затем `pf`, `proto` и `hosts`.
|
2024-04-17 04:23:35 +03:00
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
Можно указывать несколько групп опций, раделяя их данным параметром.
|
2024-08-18 22:56:38 +03:00
|
|
|
|
Параметры, которые идут ниже `--timeout` в help-тексте (кроме `tls-sni`), можно вынести в отдельную группу.
|
2024-04-17 04:23:35 +03:00
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
------
|
|
|
|
|
#### Примеры:
|
|
|
|
|
```
|
|
|
|
|
--fake -1 --ttl 10 --auto=alert,sid_inv --fake -1 --ttl 5
|
|
|
|
|
```
|
|
|
|
|
По умолчанию использовать `fake` с ttl=10, в случае ошибки использовать `fake` с ttl=5
|
|
|
|
|
|
|
|
|
|
```
|
|
|
|
|
--hosts list.txt --disorder 3 --auto=none
|
|
|
|
|
```
|
2024-04-17 04:23:35 +03:00
|
|
|
|
Применять запутывание только для доменов из list.txt
|
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
```
|
|
|
|
|
--hosts list.txt --auto=none --disorder 3
|
|
|
|
|
```
|
2024-04-17 04:23:35 +03:00
|
|
|
|
Не применять запутывание для доменов из list.txt
|
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
```
|
|
|
|
|
--auto=torst --hosts list.txt --disorder 3
|
|
|
|
|
```
|
2024-04-17 04:23:35 +03:00
|
|
|
|
По умолчанию ничего не делать, использовать disorder при условии, что произошла блокировка и домен входит в list.txt.
|
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
```
|
|
|
|
|
--proto=http,tls --disorder 3 --auto=none
|
|
|
|
|
```
|
2024-04-23 08:47:27 +03:00
|
|
|
|
Запутывать только HTTP и TLS
|
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
```
|
|
|
|
|
--proto=http --fake -1 --fake-data=':GET /...' --auto=none --fake -1
|
|
|
|
|
```
|
2024-04-23 08:47:27 +03:00
|
|
|
|
Переопределить фейковый пакет для HTTP
|
|
|
|
|
|
2024-07-22 01:08:05 +03:00
|
|
|
|
------
|
2024-07-22 01:03:12 +03:00
|
|
|
|
### Сборка
|
2024-02-28 21:33:27 +03:00
|
|
|
|
Для сборки понадобится:
|
2024-08-14 11:09:56 +03:00
|
|
|
|
`make`, `gcc/clang` для Linux, `mingw` для Windows
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
2024-08-14 11:09:56 +03:00
|
|
|
|
* Linux: `make`
|
|
|
|
|
* Windows: `make windows CC=x86_64-w64-mingw32-gcc`
|
2024-07-22 01:03:12 +03:00
|
|
|
|
|
2024-07-22 01:08:05 +03:00
|
|
|
|
------
|
2024-07-22 01:03:12 +03:00
|
|
|
|
### Дополнительная информация о DPI, источники идей
|
2024-08-14 11:09:56 +03:00
|
|
|
|
* https://github.com/bol-van/zapret/blob/master/docs/readme.txt
|
|
|
|
|
* https://geneva.cs.umd.edu/papers/geneva_ccs19.pdf
|
|
|
|
|
* https://habr.com/ru/post/335436
|