byedpi/readme.txt

142 lines
7.7 KiB
Text
Raw Normal View History

2024-02-20 21:53:05 +03:00
Реализация некоторых способов запутывания DPI.
2024-02-28 21:33:27 +03:00
Программа представляет собой локальный SOCKS прокси сервер.
2024-02-20 21:53:05 +03:00
2024-02-28 21:33:27 +03:00
--------------
Использование:
2024-03-08 03:37:02 +03:00
$ ./ciadpi --disorder 3 -A --tlsrec 1+s
2024-02-20 21:53:05 +03:00
2024-02-28 21:33:27 +03:00
Описание аргументов:
2024-02-20 21:53:05 +03:00
-i, --ip <ip>
Прослушиваемый IP, по умолчанию 0.0.0.0
-p, --port <num>
Прослушиваемый порт, по умолчанию 1080
-c, --max-conn <count>
Максимальное количество клиентских подключений, по умолчанию 512
-I --conn-ip <ip>
Адрес, к которому будут привязаны исходящие соединения, по умолчанию ::
При указании IPv4 адреса запросы на IPv6 будут отклоняться
-b, --buf-size <size>
Максимальный размер данных, получаемых и отправляемых за один вызов recv/send
Размер указывается в байтах, по умолчанию равен 16384
-g, --def-ttl <num>
Значение TTL для всех исходящий соединений
Может быть полезен для обхода обнаружения нестандартного/уменьшенного TTL
-N, --no-domain
Отбрасывать запросы, если в качестве адреса указан домен
Т.к. резолвинг выполняется синхронно, то он может замедлить или даже заморозить работу
-K, --desync-known
Отключить запутывание для нераспознанных протоколов
Распознаваемые протоколы: HTTP и TLS с SNI
-F, --tfo
Включает TCP Fast Open
Если сервер его поддерживает, то первый пакет будет отправлен сразу вместе с SYN
Поддерживается только в Linux (4.11+)
2024-04-04 04:19:40 +03:00
-A, --auto[=t,r,c,s,a]
2024-03-08 03:37:02 +03:00
Автоматический режим
2024-04-04 04:19:40 +03:00
Если произошло событие, похожее на блокировку или поломку,
2024-03-08 03:37:02 +03:00
то будут применены параметры обхода, следующие за данной опцией
2024-04-04 04:19:40 +03:00
Возможные события:
torst : Вышло время ожидания или сервер сбросил подключение после первого запроса
redirect: HTTP Redirect с Location, домен которого не совпадает с исходящим
cl_err : HTTP ответ, код которого равен 40x, но не 429
sid_inv : session_id в TLS ServerHello и ClientHello не совпадают
alert : TLS Error Alert в ответе
По умолчанию обрабатывается только torst
Можно указывать несколько групп опций, раделяя их данным параметром
2024-03-08 21:33:25 +03:00
Если соединение успешно прошло, то параметры для данного IP будут закешированны
2024-03-17 00:19:14 +03:00
Параметры, которые можно вынести в отдельную группу:
2024-04-04 23:23:46 +03:00
split, disorder, oob, fake, ttl, ip-opt, md5sig, mod-http, tlsrec
2024-04-04 04:19:40 +03:00
Пример:
--auto=redirect --split=1+h --auto=torst --fake -1 --auto=sid_inv,alert --tlsrec 1+s
2024-03-08 21:33:25 +03:00
-u, --cache-ttl <sec>
2024-03-13 22:18:16 +03:00
Время жизни значения в кеше, по умолчанию 100800 (28 часов)
-T, --timeout <sec>
Таймаут ожидания первого ответа от сервера в секундах
В Linux переводится в миллисекунды, поэтому можно указать дробное число
2024-03-17 00:19:14 +03:00
Истечение таймаута будет обработано --auto
-s, --split <n[+s]>
Разбить запрос по указанному смещению
2024-03-17 00:19:14 +03:00
После числа можно добавить флаг:
+s: добавить смещение SNI
+h: добавить смещение Host
2024-03-04 15:30:23 +03:00
Можно указывать несколько раз, чтобы разбить запрос по нескольким позициям
При указании отрицательного значения к нему прибавляется размер пакета
-d, --disorder <n[+s]>
Подобен --split, но части отправляются в обратном порядке
! Поведение в Windows отлично: сначала отправляется лишь часть, но затем целый запрос
-o, --oob <n[+s]>
2024-03-06 20:37:59 +03:00
Подобен --split, но после части отсылается один или несколько байт OOB данных
-f, --fake <n[+s]>
2024-03-04 15:30:23 +03:00
Подобен --disorder, только перед отправкой первого куска отправляется часть поддельного
Количество байт отправляемого из фейка равно рамеру разбиваемой части
2024-02-20 21:53:05 +03:00
-t, --ttl <num>
TTL для поддельного пакета, по умолчанию 8
Необходимо подобрать такое значение, чтобы пакет не дошел до сервера, но был обработан DPI
-k, --ip-opt [file|:str]
Установить опции для фейкового IP пакета
Существенно снизит вероятность, что пакет дойдет до сервера
Стоит учесть, что до DPI он также может не дойти
В Windows поддержка может быть отключена
2024-03-26 17:15:34 +03:00
-S, --md5sig
Установить опцию TCP MD5 Signature для фейкового пакета
Большинство серверов (в основном на Linux) отбрасывают пакеты с данной опцией
Поддерживается только в Linux, может быть выключен в некоторых сборках ядра (< 3.9, Android)
2024-03-26 17:15:34 +03:00
2024-03-17 00:19:14 +03:00
-l, --fake-tls <file|:str>
-j, --fake-http <file|:str>
2024-02-20 21:53:05 +03:00
Указать свои поддельные пакеты, вместо дефолтных
2024-03-17 00:19:14 +03:00
-e, --oob-data <file|:str>
2024-02-29 20:18:23 +03:00
Данные, отсылаемые вне основного потока, по умолчанию один байт 'a'
! При размере более одного байта может работать нестабильно
2024-02-29 20:07:59 +03:00
2024-02-20 21:53:05 +03:00
-n, --tls-sni <str>
Изменить SNI в fake пакете на указанный
-M, --mod-http <h[,d,r]>
Всякие манипуляции с HTTP пакетом, можно комбинировать
hcsmix:
"Host: name" -> "hOsT: name"
dcsmix:
"Host: name" -> "Host: NaMe"
rmspace:
"Host: name" -> "Host:name\t"
-r, --tlsrec <n[+s]>
2024-02-20 21:53:05 +03:00
Разделить ClientHello на отдельные записи по указанному смещению
2024-03-04 15:30:23 +03:00
Можно указывать несколько раз
2024-03-28 20:42:43 +03:00
2024-02-28 21:33:27 +03:00
-------
Сборка:
Для сборки понадобится:
make, gcc/clang для Linux, mingw для Windows
# Linux
$ make
# Windows
$ make windows CC=x86_64-w64-mingw32-gcc
-----------------
Как это работает?
Подробно описано тут:
https://github.com/bol-van/zapret/blob/master/docs/readme.txt
https://geneva.cs.umd.edu/papers/geneva_ccs19.pdf
https://habr.com/ru/post/335436