mirror of
https://github.com/bol-van/zapret.git
synced 2025-01-04 13:24:29 +00:00
325 lines
30 KiB
Plaintext
325 lines
30 KiB
Plaintext
zapret v.17
|
||
|
||
Для чего это надо
|
||
-----------------
|
||
|
||
Обойти блокировки веб сайтов http.
|
||
|
||
Как это работает
|
||
----------------
|
||
|
||
У провайдеров в DPI бывают бреши. Они случаются от того, что правила DPI пишут для
|
||
обычных пользовательских программ, опуская все возможные случаи, допустимые по стандартам.
|
||
Это делается для простоты и скорости. Нет смысла ловить хакеров, которых 0.01%,
|
||
ведь все равно эти блокировки обходятся довольно просто даже обычными пользователями.
|
||
|
||
Некоторые DPI не могут распознать http запрос, если он разделен на TCP сегменты.
|
||
Например, запрос вида "GET / HTTP/1.1\r\nHost: kinozal.tv......"
|
||
мы посылаем 2 частями : сначала идет "GET ", затем "/ HTTP/1.1\r\nHost: kinozal.tv.....".
|
||
Другие DPI спотыкаются, когда заголовок "Host:" пишется в другом регистре : например, "host:".
|
||
Кое-где работает добавление дополнительного пробела после метода : "GET /" => "GET /"
|
||
или добавление точки в конце имени хоста : "Host: kinozal.tv."
|
||
|
||
Как это реализовать на практике в системе linux
|
||
-----------------------------------------------
|
||
|
||
Как заставить систему разбивать запрос на части ? Можно прогнать всю TCP сессию
|
||
через transparent proxy, а можно подменить поле tcp window size на первом входящем TCP пакете с SYN,ACK.
|
||
Тогда клиент подумает, что сервер установил для него маленький window size и первый сегмент с данными
|
||
отошлет не более указанной длины. В последующих пакетах мы не будем менять ничего.
|
||
Дальнейшее поведение системы по выбору размера отсылаемых пакетов зависит от реализованного
|
||
в ней алгоритма. Опыт показывает, что linux первый пакет всегда отсылает не более указанной
|
||
в window size длины, остальные пакеты до некоторых пор шлет не более max(36,указанный_размер).
|
||
После некоторого количества пакетов срабатывает механизм window scaling и начинает
|
||
учитываться фактор скалинга, размер пакетов становится не более max(36,указанный_рамер << scale_factor).
|
||
Не слишком изящное поведение, но поскольку на размеры входящик пакетов мы не влияем,
|
||
а объем принимаемых по http данных обычно гораздо выше объема отсылаемых, то визуально
|
||
появятся лишь небольшие задержки.
|
||
Windows ведет себя в аналогичном случае гораздо более предсказуемо. Первый сегмент
|
||
уходит указанной длины, дальше window size меняется в зависимости от значения,
|
||
присылаемого в новых tcp пакетах. То есть скорость почти сразу же восстанавливается
|
||
до возможного максимума.
|
||
|
||
Перехватить пакет с SYN,ACK не представляет никакой сложности средствами iptables.
|
||
Однако, возможности редактирования пакетов в iptables сильно ограничены.
|
||
Просто так поменять window size стандартными модулями нельзя.
|
||
Для этого мы воспользуемся средством NFQUEUE. Это средство позволяет
|
||
передавать пакеты на обработку процессам, работающим в user mode.
|
||
Процесс, приняв пакет, может его изменить, что нам и нужно.
|
||
|
||
iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -j NFQUEUE --queue-num 200 --queue-bypass
|
||
|
||
Будет отдавать нужные нам пакеты процессу, слушающему на очереди с номером 200.
|
||
Он подменит window size. PREROUTING поймает как пакеты, адресованные самому хосту,
|
||
так и маршрутизируемые пакеты. То есть решение одинаково работает как на клиенте,
|
||
так и на роутере. На роутере на базе PC или на базе OpenWRT.
|
||
В принципе этого достаточно.
|
||
Однако, при таком воздействии на TCP будет небольшая задержка.
|
||
Чтобы не трогать хосты, которые не блокируются провайдером, можно сделать такой ход.
|
||
Создать список заблоченых доменов или скачать его с rublacklist.
|
||
Заресолвить все домены в ipv4 адреса. Загнать их в ipset с именем "zapret".
|
||
Добавить в правило :
|
||
|
||
iptables -t raw -I PREROUTING -p tcp --sport 80 --tcp-flags SYN,ACK SYN,ACK -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
|
||
|
||
Таким образом воздействие будет производиться только на ip адреса, относящиеся к заблокированным сайтам.
|
||
Список можно обновлять через cron раз в несколько дней.
|
||
Если обновлять через rublacklist, то это займет довольно долго. Более часа. Но ресурсов
|
||
этот процесс не отнимает, так что никаких проблем это не вызовет, особенно, если система
|
||
работает постоянно.
|
||
|
||
Если DPI не обходится через разделение запроса на сегменты, то иногда срабатывает изменение
|
||
"Host:" на "host:". В этом случае нам может не понадобится замена window size, поэтому цепочка
|
||
PREROUTING нам не нужна. Вместо нее вешаемся на исходящие пакеты в цепочке POSTROUTING :
|
||
|
||
iptables -t mangle -I POSTROUTING -p tcp --dport 80 -m set --match-set zapret dst -j NFQUEUE --queue-num 200 --queue-bypass
|
||
|
||
В этом случае так же возможны дополнительные моменты. DPI может ловить только первый http запрос, игнорируя
|
||
последующие запросы в keep-alive сессии. Тогда можем уменьшить нагрузку на проц, отказавшись от процессинга ненужных пакетов.
|
||
|
||
iptables -t mangle -I POSTROUTING -p tcp --dport 80 -m connbytes --connbytes-dir=original --connbytes-mode=packets --connbytes 1:5 -m set --match-set zapret dst -j NFQUEUE --queue-num 200 --queue-bypass
|
||
|
||
Случается так, что провайдер мониторит всю HTTP сессию с keep-alive запросами. В этом случае
|
||
недостаточно ограничивать TCP window при установлении соединения. Необходимо посылать отдельными
|
||
TCP сегментами каждый новый запрос. Эта задача решается через полное проксирование трафика через
|
||
transparent proxy (TPROXY или DNAT). TPROXY не работает с соединениями, исходящими с локальной системы,
|
||
так что это решение применимо только на роутере. DNAT работает и с локальными соединениеми,
|
||
но имеется опасность входа в бесконечную рекурсию, поэтому демон запускается под отдельным пользователем,
|
||
и для этого пользователя отключается DNAT через "-m owner". Полное проксирование требует больше ресурсов
|
||
процессора, чем манипуляция с исходящими пакетами без реконструкции TCP соединения.
|
||
|
||
iptables -t nat -I PREROUTING -p tcp --dport 80 -j DNAT --to 127.0.0.1:1188
|
||
iptables -t nat -I OUTPUT -p tcp --dport 80 -m owner ! --uid-owner tpws -j DNAT --to 127.0.0.1:1188
|
||
|
||
nfqws
|
||
-----
|
||
|
||
Эта программа - модификатор пакетов и обработчик очереди NFQUEUE.
|
||
Она берет следующие параметры :
|
||
--daemon ; демонизировать прогу
|
||
--qnum=200 ; номер очереди
|
||
--wsize=4 ; менять tcp window size на указанный размер
|
||
--hostcase ; менять регистр заголовка "Host:" по умолчанию на "host:".
|
||
--hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
|
||
Параметры манипуляции могут сочетаться в любых комбинациях.
|
||
|
||
tpws
|
||
-----
|
||
|
||
tpws - это transparent proxy.
|
||
--bind-addr ; на каком адресе слушать. может быть ipv4 или ipv6 адрес. если не указано, то слушает на всех адресах ipv4 и ipv6
|
||
--port=<port> ; на каком порту слушать
|
||
--daemon ; демонизировать прогу
|
||
--user=<username> ; менять uid процесса
|
||
--split-http-req=method|host ; способ разделения http запросов на сегменты : около метода (GET,POST) или около заголовка Host
|
||
--split-pos=<offset> ; делить все посылы на сегменты в указанной позиции. Если отсыл длинее 8Kb (размер буфера приема), то будет разделен каждый блок по 8Kb.
|
||
--hostcase ; менять регистр заголовка "Host:". по умолчанию на "host:".
|
||
--hostspell=HoST ; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
|
||
--hostdot ; добавление точки после имени хоста : "Host: kinozal.tv."
|
||
--hosttab ; добавление табуляции после имени хоста : "Host: kinozal.tv\t"
|
||
--methodspace ; добавить пробел после метода : "GET /" => "GET /"
|
||
--methodeol ; добавить перевод строки перед методом : "GET /" => "\r\nGET /"
|
||
--unixeol ; конвертировать 0D0A в 0A и использовать везде 0A
|
||
Параметры манипуляции могут сочетаться в любых комбинациях.
|
||
Есть исключения : split-pos заменяет split-http-req. hostdot и hosttab взаимоисключающи.
|
||
|
||
Провайдеры
|
||
----------
|
||
|
||
mns.ru : нужна замена window size на 3. mns.ru убирает заблокированные домены из выдачи своих DNS серверов. меняем на сторонние. аплинк westcall банит по IP адреса из списка РКН, где присутствует https
|
||
|
||
at-home.ru : при дефолтном подключении все блокировалось по IP. после заказа внешнего IP (static NAT) банятся по IP https адреса
|
||
Для обхода DPI работает замена windows size на 3, но была замечена нестабильность и подвисания. Лучше всего работает сплит запроса около метода в течение всей http сессии.
|
||
В https подменяется сертификат. Если у вас все блокируется по IP, то нет никакого способа, кроме как проксирование порта 80 по аналогии с 443.
|
||
|
||
beeline (corbina) : нужна замена регистра "Host:" на протяжении всей http сессии. С некоторых пор "host" не работает, но работают другие регистры букв.
|
||
|
||
dom.ru : нужно проксирование HTTP сессий через tpws с заменой регистра "Host:" и разделение TCP сегментов на хедере "Host:".
|
||
Ахтунг ! Домру блокирует все поддомены заблоченого домена. IP адреса всевозможных поддоменов узнать невозможно из реестра
|
||
блокировок, поэтому если вдруг на каком-то сайте вылезает блокировочный баннер, то идите в консоль firefox, вкладка network.
|
||
Загружайте сайт и смотрите куда идет редирект. Потом вносите домен в zapret-hosts-user.txt. Например, на kinozal.tv имеются
|
||
2 запрашиваемых поддомена : s.kinozal.tv и st.kinozal.tv с разными IP адресами.
|
||
Домру перехватывает DNS запросы и всовывает свой лже-ответ. Это обходится через дроп лже-ответа посредством iptables по наличию IP адреса заглушки или через dnscrypt.
|
||
|
||
sknt.ru : проверена работа с tpws с параметром "--split-http-req=method". возможно, будет работать nfqueue, пока возможности
|
||
проверить нет
|
||
|
||
Ростелеком/tkt : помогает разделение http запроса на сегменты, настройки mns.ru подходят
|
||
ТКТ был куплен ростелекомом, используется фильтрация ростелекома.
|
||
Поскольку DPI не отбрасывает входящую сессию, а только всовывает свой пакет, который приходит раньше ответа от настоящего сервера,
|
||
блокировки так же обходятся без применения "тяжелой артиллерии" следующим правилом :
|
||
iptables -t raw -I PREROUTING -p tcp --sport 80 -m string --hex-string "|0D0A|Location: http://95.167.13.50" --algo bm -j DROP --from 40 --to 200
|
||
|
||
tiera : Требуется сплит http запросов в течение всей сессии.
|
||
|
||
Другие провайдеры
|
||
-----------------
|
||
|
||
Первым делом необходимо выяснить не подменят ли ваш провайдер DNS.
|
||
Посмотрите во что ресолвятся заблокированные хосты у вашего провайдера и через какой-нибудь web net tools, которых можно нагуглить множество. Сравните.
|
||
Если ответы разные, то попробуйте заресолвить те же хосты с DNS сервера 8.8.8.8 через вашего провайдера.
|
||
Если ответ от 8.8.8.8 нормальный - поменяйте DNS. Если ответ ненормальный, значит провайдер перехватывает запросы на сторонние DNS.
|
||
Используйте dnscrypt.
|
||
|
||
Далее необходимо выяснить какой метод обхода DPI работает на вашем провайдере.
|
||
В этом вам поможет скрипт https://github.com/ValdikSS/blockcheck.
|
||
Выберите какой демон вы будете использовать : nfqws или tpws.
|
||
Подготовьте вручную правила iptables для вашего случая, выполните их.
|
||
Запустите демон с нужными параметрами вручную.
|
||
Проверьте работает ли.
|
||
Когда вы найдете рабочий вариант, отредактируйте init скрипт для вашей системы.
|
||
Раскомментируйте ISP=custom. Добавьте ваш код в места "# PLACEHOLDER" по аналогии с секциями для других провайдеров для найденной рабочей комбинации.
|
||
Для openwrt поместите в /etc/firewall.user свой код по аналогии с готовыми скриптами.
|
||
|
||
Способы получения списка заблокированных IP
|
||
-------------------------------------------
|
||
|
||
1) Внесите заблокирванные домены в ipset/zapret-hosts-user.txt и запустите ipset/get_user.sh
|
||
На выходе получите ipset/zapret-ip-user.txt с IP адресами.
|
||
|
||
2) ipset/get_reestr.sh получает список доменов от rublacklist и дальше их ресолвит в ip адреса
|
||
в файл ipset/zapret-ip.txt. В этом списке есть готовые IP адреса, но судя во всему они там в точности в том виде,
|
||
что вносит в реестр РосКомПозор. Адреса могут меняться, позор не успевает их обновлять, а провайдеры редко
|
||
банят по IP : вместо этого они банят http запросы с "нехорошим" заголовком "Host:" вне зависимости
|
||
от IP адреса. Поэтому скрипт ресолвит все сам, хотя это и занимает много времени.
|
||
Дополнительное требование - объем памяти в /tmp для сохранения туда скачанного файла, размер которого
|
||
несколько Мб и продолжает расти. На роутерах openwrt /tmp представляет собой tmpfs , то есть ramdisk.
|
||
В случае роутера с 32 мб памяти ее не хватит, и будут проблемы. В этом случае используйте
|
||
следующий скрипт.
|
||
|
||
3) ipset/get_anizapret.sh. быстро и без нагрузки на роутер получает лист с antizapret.prostovpn.org.
|
||
|
||
4) ipset/get_combined.sh. для провайдеров, которые блокируют по IP https, а остальное по DPI. IP https заносится в ipset ipban, остальные в ipset zapret.
|
||
Поскольку скачивается большой список РКН, требования к месту в /tmp аналоичны 2)
|
||
|
||
Все варианты рассмотренных скриптов автоматически создают и заполняют ipset.
|
||
Варианты 2-4 дополнительно вызывают вариант 1.
|
||
|
||
На роутерах не рекомендуется вызывать эти скрипты чаще раза за 2 суток, поскольку сохранение идет
|
||
либо во внутреннюю флэш память роутера, либо в случае extroot - на флэшку.
|
||
В обоих случаях слишком частая запись может убить флэшку, но если это произойдет с внутренней
|
||
флэш памятью, то вы просто убьете роутер.
|
||
|
||
Принудительное обновление ipset выполняет скрипт ipset/create_ipset.sh
|
||
|
||
Можно внести список доменов в ipset/zapret-hosts-user-ipban.txt. Их ip адреса будут помещены
|
||
в отдельный ipset "ipban". Он может использоваться для принудительного завертывания всех
|
||
соединений на прозрачный proxy "redsocks" или на VPN.
|
||
|
||
|
||
Пример установки на debian 7
|
||
----------------------------
|
||
Debian 7 изначально содержит ядро 3.2. Оно не умеет делать DNAT на localhost.
|
||
Конечно, можно не привязывать tpws к 127.0.0.1 и заменить в правилах iptables "DNAT 127.0.0.1" на "REDIRECT",
|
||
но лучше установить более свежее ядро. Оно есть в стабильном репозитории :
|
||
apt-get update
|
||
apt-get install linux-image-3.16
|
||
Установить пакеты :
|
||
apt-get update
|
||
apt-get install libnetfilter-queue-dev ipset curl
|
||
Скопировать директорию "zapret" в /opt.
|
||
Собрать nfqws :
|
||
cd /opt/zapret/nfq
|
||
make
|
||
Собрать tpws :
|
||
cd /opt/zapret/tpws
|
||
make
|
||
Скопировать /opt/zapret/init.d/debian7/zapret в /etc/init.d.
|
||
В /etc/init.d/zapret выбрать пераметр "ISP". В зависимости от него будут применены нужные правила.
|
||
Там же выбрать параметр SLAVE_ETH, соответствующий названию внутреннего сетевого интерфейса.
|
||
Включить автостарт : chkconfig zapret on
|
||
(опционально) Вручную первый раз получить новый список ip адресов : /opt/zapret/ipset/get_antizapret.sh
|
||
Зашедулить задание обновления листа :
|
||
crontab -e
|
||
Создать строчку "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Это значит в 12:00 каждые 2 дня обновлять список.
|
||
Запустить службу : service zapret start
|
||
Попробовать зайти куда-нибудь : http://ej.ru, http://kinozal.tv, http://grani.ru.
|
||
Если не работает, то остановить службу zapret, добавить правило в iptables вручную,
|
||
запустить nfqws в терминале под рутом с нужными параметрами.
|
||
Пытаться подключаться к заблоченым сайтам, смотреть вывод программы.
|
||
Если нет никакой реакции, значит скорее всего указан неверный номер очереди или ip назначения нет в ipset.
|
||
Если реакция есть, но блокировка не обходится, значит параметры обхода подобраные неверно, или это средство
|
||
не работает в вашем случае на вашем провайдере.
|
||
Никто и не говорил, что это будет работать везде.
|
||
Попробуйте снять дамп в wireshark или "tcpdump -vvv -X host <ip>", посмотрите действительно ли первый
|
||
сегмент TCP уходит коротким и меняется ли регистр "Host:".
|
||
|
||
ubuntu 12,14
|
||
------------
|
||
|
||
Имеется готовый конфиг для upstart : zapret.conf. Его нужно скопировать в /etc/init и настроить по аналогии с debian.
|
||
Запуск службы : "start zapret"
|
||
Останов службы : "stop zapret"
|
||
Просмотр сообщений : cat /var/log/upstart/zapret.log
|
||
Ubuntu 12 так же, как и debian 7, оснащено ядром 3.2. См замечание в разделе "debian 7".
|
||
|
||
ubuntu 16,debian 8
|
||
------------------
|
||
|
||
Процесс аналогичен debian 7, однако требуется зарегистрировать init скрипты в systemd после их копирования в /etc/init.d.
|
||
По умолчанию lsb-core может быть не установлен.
|
||
apt-get update
|
||
apt-get --no-install-recommends install lsb-core
|
||
|
||
install : /usr/lib/lsb/install_initd zapret
|
||
remove : /usr/lib/lsb/remove_initd zapret
|
||
start : sytemctl start zapret
|
||
stop : systemctl stop zapret
|
||
status, output messages : systemctl status zapret
|
||
|
||
Другие linux системы
|
||
--------------------
|
||
|
||
Существует несколько основных систем запуска служб : sysvinit, upstart, systemd.
|
||
Настройка зависит от системы, используемой в вашем дистрибутиве.
|
||
Типичная стратегия - найти скрипт или конфигурацию запуска других служб и написать свой по аналогии,
|
||
при необходимости почитывая документацию по системе запуска.
|
||
Нужные команды можно взять из предложенных скриптов.
|
||
|
||
|
||
Фаерволлы
|
||
---------
|
||
|
||
Если вы используете какую-то систему управления фаерволом, то она может вступать в конфликт
|
||
с имеющимся скриптом запуска. В этом случае правила для iptables должны быть прикручены
|
||
к вашему фаерволу отдельно от скрипта запуска tpws или nfqws.
|
||
Именно так решается вопрос в случае с openwrt, поскольку там своя система управления фаерволом.
|
||
При повторном применении правил она могла бы поломать настройки iptables, сделанные скриптом из init.d.
|
||
|
||
Что делать с openwrt/LEDE
|
||
-------------------------
|
||
|
||
Установить дополнительные пакеты :
|
||
opkg update
|
||
opkg install iptables-mod-extra iptables-mod-nfqueue iptables-mod-filter iptables-mod-ipopt ipset curl bind-tools
|
||
(для новых LEDE) opkg install kmod-ipt-raw
|
||
|
||
Самая главная трудность - скомпилировать программы на C. Это можно сделать на linux x64 при помощи SDK, который
|
||
можно скачать с официального сайта openwrt или LEDE. Но процесс кросс компиляции - это всегда сложности.
|
||
Недостаточно запустить make как на традиционной linux системе.
|
||
Поэтому в binaries имеются готовые статические бинарики для всех самых распространенных архитектур.
|
||
Статическая сборка означает, что бинарик не зависит от типа libc (glibc, uclibc или musl) и наличия установленных so - его можно использовать сразу.
|
||
Лишь бы подходил тип CPU. У ARM и MIPS есть несколько версий. Найдите работающий на вашей системе вариант.
|
||
Скорее всего таковой найдется. Если нет - вам придется собирать самостоятельно.
|
||
|
||
Скопировать директорию "zapret" в /opt на роутер.
|
||
Скопировать работающий бинарик nfqws в /opt/zapret/nfq, tpws в /opt/zapret/tpws.
|
||
Скопировать /opt/zapret/init.d/zapret в /etc/init.d.
|
||
В /etc/init.d/zapret выбрать пераметр "ISP". В зависимости от него будут применены нужные правила.
|
||
/etc/init.d/zapret enable
|
||
/etc/init.d/zapret start
|
||
В зависимости от вашего провайдера внести нужные записи в /etc/firewall.user.
|
||
/etc/init.d/firewall restart
|
||
Посмотреть через iptables -L или через luci вкладку "firewall" появились ли нужные правила.
|
||
Зашедулить задание обновления листа :
|
||
crontab -e
|
||
Создать строчку "0 12 * * */2 /opt/zapret/ipset/get_antizapret.sh". Это значит в 12:00 каждые 2 дня обновлять список.
|
||
|
||
Обход блокировки https
|
||
----------------------
|
||
|
||
Как правило трюки с DPI не помогают для обхода блокировки https.
|
||
Приходится перенаправлять трафик через сторонний хост.
|
||
Предлагается использовать прозрачный редирект через socks5 посредством iptables+redsocks, либо iptables+iproute+openvpn.
|
||
Настройка варианта с redsocks на openwrt описана в https.txt.
|