mirrors/zapret
1
0
Fork 0
mirror of https://github.com/bol-van/zapret.git synced 2024-12-23 14:53:18 +00:00
Code Issues Packages Projects Releases Wiki Activity

readme update

Browse Source
This commit is contained in:
bol-van 2024-03-06 21:52:32 +03:00
parent b4ec7a86c3
commit e21335255e
1 changed files with 8 additions and 7 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

15
docs/readme.txt
View File

@ -325,13 +325,14 @@ fakeknown отличается от fake тем, что применяется
такие пакеты могут фильтроваться и не доходить. Расчет идет на то, что DPI проанализирует пакет с hop-by-hop,
но он либо не дойдет до адресата всилу фильтров провайдера, либо будет отброшен сервером, потому что хедера два.
* datanoack высылает фейки со снятым tcp флагом ACK. Сервера такое не принимают, а DPI может принять.
Эта техника может ломать NAT и не всегда работает с iptables, если используется masquerade, даже с локальной системы
(почти всегда на роутерах ipv4). На системах c iptables без masquerade и на nftables работает без ограничений.
Экспериментально выяснено, что многие провайдерские NAT не отбрасывают эти пакеты, потому работает даже
с внутренним провайдерским IP. Но linux NAT оно не пройдет, так что за домашним роутером эта техника не сработает,
но может сработать с него.
* autottl. Суть режима в автоматическом определении TTL, чтобы он почти наверняка прошел DPI и немного не дошел до сервера.
Берутся базовые значения TTL 64,128,255, смотрится входящий пакет (да, требуется направить первый входящий пакет на nfqws !).
Эта техника может ломать NAT и не всегда работает с iptables, если используется masquerade, даже с локальной
системы (почти всегда на роутерах ipv4). На системах c iptables без masquerade и на nftables работает без
ограничений. Экспериментально выяснено, что многие провайдерские NAT не отбрасывают эти пакеты, потому
работает даже с внутренним провайдерским IP. Но linux NAT оно не пройдет, так что за домашним роутером эта
техника не сработает, но может сработать с него.
* autottl. Суть режима в автоматическом определении TTL, чтобы он почти наверняка прошел DPI и немного не дошел до
сервера. Берутся базовые значения TTL 64,128,255, смотрится входящий пакет
(да, требуется направить первый входящий пакет на nfqws !).
Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию),
то берутся значения min,max, чтобы вписаться в диапазон. Если при этом полученый TTL больше длины пути,
то автоматизм не сработал и берутся фиксированные значения TTL для атаки.