Реализация некоторых способов запутывания DPI. Программа представляет собой локальный SOCKS прокси сервер. -------------- Использование: $ ./ciadpi --split 3 --disorder 10 Описание аргументов: -i, --ip Прослушиваемый IP, по умолчанию 0.0.0.0 -p, --port Прослушиваемый порт, по умолчанию 1080 -c, --max-conn Максимальное количество клиентских подключений, по умолчанию 512 -I --conn-ip Адрес, к которому будут привязаны исходящие соединения, по умолчанию :: При указании IPv4 адреса запросы на IPv6 будут отклоняться -b, --buf-size Максимальный размер данных, получаемых и отправляемых за один вызов recv/send Размер указывается в байтах, по умолчанию равен 16384 -g, --def-ttl Значение TTL для всех исходящий соединений Может быть полезен для обхода обнаружения нестандартного/уменьшенного TTL -N, --no-domain Отбрасывать запросы, если в качестве адреса указан домен Т.к. резолвинг выполняется синхронно, то он может замедлить или даже заморозить работу -K, --desync-known Отключить запутывание для нераспознанных протоколов Распознаваемые протоколы: HTTP и TLS с SNI -s, --split Разбить запрос по указанному смещению Можно указывать несколько раз, чтобы разбить запрос по нескольким позициям При указании отрицательного значения к нему прибавляется размер пакета -d, --disorder Подобен --split, но части отправляются в обратном порядке ! Поведение в Windows отлично: сначала отправляется лишь часть, но затем целый запрос -f, --fake Подобен --disorder, только перед отправкой первого куска отправляется часть поддельного Количество байт отправляемого из фейка равно рамеру разбиваемой части -o, --oob Подобен --split, но после offset отсылается несколько байт OOB данных -H, --split-at-host Если найден SNI или Host, то считать смещение относительно позиции домена При offset=0 запрос будет разбит прямо перед именем хоста -t, --ttl TTL для поддельного пакета, по умолчанию 8 Необходимо подобрать такое значение, чтобы пакет не дошел до сервера, но был обработан DPI -l, --fake-tls -j, --fake-http Указать свои поддельные пакеты, вместо дефолтных -e, --oob-data Данные, отсылаемые вне основного потока, по умолчанию один байт 'a' ! При размере более одного байта может работать нестабильно -n, --tls-sni Изменить SNI в fake пакете на указанный -M, --mod-http Всякие манипуляции с HTTP пакетом, можно комбинировать hcsmix: "Host: name" -> "hOsT: name" dcsmix: "Host: name" -> "Host: NaMe" rmspace: "Host: name" -> "Host:name\t" -r, --tlsrec Разделить ClientHello на отдельные записи по указанному смещению Также возможен отсчет от конца при указании отрицательного значения Можно указывать несколько раз -L, --tlsrec-at-sni Отсчитывать позицию tlsrec относительно SNI ------- Сборка: Для сборки понадобится: make, gcc/clang для Linux, mingw для Windows # Linux $ make # Windows $ make windows CC=x86_64-w64-mingw32-gcc ----------------- Как это работает? Подробно описано тут: https://github.com/bol-van/zapret/blob/master/docs/readme.txt https://geneva.cs.umd.edu/papers/geneva_ccs19.pdf https://habr.com/ru/post/335436