Bypass DPI
Find a file
2024-03-21 21:44:17 +03:00
conev.c Auto mode 2024-03-08 03:37:02 +03:00
conev.h Remove --redirect, fix mem_delete 2024-03-12 02:53:57 +03:00
desync.c wait_send after split, oob, etc; handle different send ret 2024-03-21 21:44:17 +03:00
desync.h wait_send after split, oob, etc; handle different send ret 2024-03-21 21:44:17 +03:00
error.h Handle only conn reset 2024-03-08 04:48:35 +03:00
main.c wait_send after split, oob, etc; handle different send ret 2024-03-21 21:44:17 +03:00
Makefile --fake on Windows 2024-03-18 02:23:10 +03:00
mpool.c Remove --redirect, fix mem_delete 2024-03-12 02:53:57 +03:00
mpool.h Cache ttl, handle client rst 2024-03-08 21:33:25 +03:00
packets.c Multiple tlsrec positions 2024-03-05 23:44:47 +03:00
packets.h Multiple tlsrec positions 2024-03-05 23:44:47 +03:00
params.h wait_send after split, oob, etc; handle different send ret 2024-03-21 21:44:17 +03:00
proxy.c Check not sent bytes, --ip-opt 2024-03-21 01:01:36 +03:00
proxy.h Add --tr 2024-03-17 00:19:14 +03:00
readme.txt wait_send after split, oob, etc; handle different send ret 2024-03-21 21:44:17 +03:00

This file contains ambiguous Unicode characters

This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.

Реализация некоторых способов запутывания DPI.
Программа представляет собой локальный SOCKS прокси сервер.

--------------
Использование:
$ ./ciadpi --disorder 3 -A --tlsrec 1+s

Описание аргументов:
-i, --ip <ip>
    Прослушиваемый IP, по умолчанию 0.0.0.0

-p, --port <num>
    Прослушиваемый порт, по умолчанию 1080

-c, --max-conn <count>
    Максимальное количество клиентских подключений, по умолчанию 512

-I  --conn-ip <ip>
    Адрес, к которому будут привязаны исходящие соединения, по умолчанию ::
    При указании IPv4 адреса запросы на IPv6 будут отклоняться

-b, --buf-size <size>
    Максимальный размер данных, получаемых и отправляемых за один вызов recv/send
    Размер указывается в байтах, по умолчанию равен 16384

-g, --def-ttl <num>
    Значение TTL для всех исходящий соединений
    Может быть полезен для обхода обнаружения нестандартного/уменьшенного TTL

-N, --no-domain
    Отбрасывать запросы, если в качестве адреса указан домен
    Т.к. резолвинг выполняется синхронно, то он может замедлить или даже заморозить работу

-K, --desync-known
    Отключить запутывание для нераспознанных протоколов
    Распознаваемые протоколы: HTTP и TLS с SNI

-F, --tfo
    Включает TCP Fast Open
    Если сервер его поддерживает, то первый пакет будет отправлен сразу вместе с SYN
    Поддерживается только в Linux (4.11+)
    
-A, --auto
    Автоматический режим
    Если сервер сбросил подключение, превышено время ожидания, сработал --tr,
    то будут применены параметры обхода, следующие за данной опцией
    Можно указывать несколько групп параметров, раделяя их данным флагом
    Если соединение успешно прошло, то параметры для данного IP будут закешированны
    Параметры, которые можно вынести в отдельную группу: 
    split, disorder, oob, fake, ttl, ip-opt, mod-http, tlsrec
    
-u, --cache-ttl <sec>
    Время жизни значения в кеше, по умолчанию 100800 (28 часов)
    
-T, --timeout <sec>
    Таймаут ожидания первого ответа от сервера в секундах
    В Linux переводится в миллисекунды, поэтому можно указать дробное число
    Истечение таймаута будет обработано --auto
    
-P, --tr <s:e:file|:str>
    Поиск строки в первом ответе от сервера, начиная с s и заканчивая e
    Является триггером для --auto
    
-s, --split <n[+s]>
    Разбить запрос по указанному смещению
    После числа можно добавить флаг:
        +s: добавить смещение SNI
        +h: добавить смещение Host
    Можно указывать несколько раз, чтобы разбить запрос по нескольким позициям
    При указании отрицательного значения к нему прибавляется размер пакета
    
-d, --disorder <n[+s]>
    Подобен --split, но части отправляются в обратном порядке
    ! Поведение в Windows отлично: сначала отправляется лишь часть, но затем целый запрос
    
-o, --oob <n[+s]>
    Подобен --split, но после части отсылается один или несколько байт OOB данных
    
-f, --fake <n[+s]>
    Подобен --disorder, только перед отправкой первого куска отправляется часть поддельного
    Количество байт отправляемого из фейка равно рамеру разбиваемой части
 
-t, --ttl <num>
    TTL для поддельного пакета, по умолчанию 8
    Необходимо подобрать такое значение, чтобы пакет не дошел до сервера, но был обработан DPI

-k, --ip-opt [file|:str]
    Установить опции для фейкового IP пакета
    Существенно снизит вероятность, что пакет дойдет до сервера
    Стоит учесть, что до DPI он также может не дойти
    
-l, --fake-tls <file|:str>
-j, --fake-http <file|:str>
    Указать свои поддельные пакеты, вместо дефолтных

-e, --oob-data <file|:str>
    Данные, отсылаемые вне основного потока, по умолчанию один байт 'a'
    ! При размере более одного байта может работать нестабильно
    
-n, --tls-sni <str>
    Изменить SNI в fake пакете на указанный

-M, --mod-http <h[,d,r]>
    Всякие манипуляции с HTTP пакетом, можно комбинировать
    hcsmix:
        "Host: name" -> "hOsT: name"
    dcsmix:
        "Host: name" -> "Host: NaMe"
    rmspace:
        "Host: name" -> "Host:name\t"

-r, --tlsrec <n[+s]>
    Разделить ClientHello на отдельные записи по указанному смещению
    Можно указывать несколько раз

-------
Сборка:
Для сборки понадобится: 
make, gcc/clang для Linux, mingw для Windows

# Linux
$ make
# Windows
$ make windows CC=x86_64-w64-mingw32-gcc

-----------------
Как это работает?
Подробно описано тут:
https://github.com/bol-van/zapret/blob/master/docs/readme.txt
https://geneva.cs.umd.edu/papers/geneva_ccs19.pdf
https://habr.com/ru/post/335436