|
|
|
@ -11,8 +11,8 @@ |
|
|
|
|
|
|
|
## Немного разъяснений |
|
|
|
|
|
|
|
Обход DPI является хакерской методикой. Под этим словом понимается метод, которому сопротивляется окружающая среда, |
|
|
|
которому автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах, |
|
|
|
Обход DPI является хакерской методикой. Под этим словом понимается метод, которому оказывается активное противодействие и поэтому |
|
|
|
автоматически не гарантирована работоспособность в любых условиях и на любых ресурсах, |
|
|
|
требуется настройка под специфические условия у вашего провайдера. Условия могут меняться со временем, |
|
|
|
и методика может начинать или переставать работать, может потребоваться повторный анализ ситуации. |
|
|
|
Могут обнаруживаться отдельные ресурсы, которые заблокированы иначе, и которые не работают или перестали работать. |
|
|
|
@ -83,31 +83,25 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT |
|
|
|
Лог скрипта будет сохранен в `blockcheck\blockcheck.log`. |
|
|
|
Запомните/перепишите найденные стратегии. |
|
|
|
|
|
|
|
> [!WARNING] |
|
|
|
> Следует понимать, что blockcheck проверяет доступность только конкретного домена, который вы вводите в начале. |
|
|
|
> Вероятно, все остальные домены блокированы подобным образом, но не факт. |
|
|
|
|
|
|
|
> [!TIP] |
|
|
|
> В большинстве случаев можно обьединить несколько стратегий в одну универсальную, и это крайне желательно. |
|
|
|
|
|
|
|
> Необходимо понимать [как работают стратегии](./readme.md/#nfqws). |
|
|
|
> zapret не может пробить блокировку по IP адресу. Для проверки нескольких доменов вводите их через пробел. |
|
|
|
> |
|
|
|
> Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у вас может быть несколько маршрутов |
|
|
|
> с различной длиной по ХОПам, с DPI на разных хопах. Приходится преодолевать целый зоопарк DPI, |
|
|
|
> которые еще и включаются в работу хаотичным образом или образом, зависящим от направления (IP сервера). |
|
|
|
> blockcheck не всегда может выдать вам в итогах оптимальную стратегию, которую надо просто переписать в настройки. |
|
|
|
> В некоторых случаях надо реально думать что происходит, анализируя результат на разных стратегиях. |
|
|
|
> Если вы применяете большой TTL, чтобы достать до магистрала, то не лишним будет добавить дополнительный ограничитель |
|
|
|
> `--dpi-desync-fooling`, чтобы не сломать сайты на более коротких дистанциях. |
|
|
|
> _md5sig_ наиболее совместим, но работатет только на linux серверах. |
|
|
|
> badseq может работать только на https и не работать на http. |
|
|
|
> Чтобы выяснить какие дополнительные ограничители работают, смотрите результат теста аналогичных стратегий без TTL |
|
|
|
> с каждым из этих ограничителей. |
|
|
|
> |
|
|
|
> При использовании autottl следует протестировать как можно больше разных доменов. Эта техника |
|
|
|
> может на одних провайдерах работать стабильно, на других потребуется выяснить при каких параметрах |
|
|
|
> она стабильна, на третьих полный хаос, и проще отказаться. |
|
|
|
Следует понимать, что скрипт проверяет доступность только конкретного |
|
|
|
домена, который вы вводите в начале, конкретной программой curl. |
|
|
|
У разных клиентов есть свой фингерпринт. У броузеров один, у curl другой. |
|
|
|
Может применяться или не применяться многопакетный TLS с постквантовой криптографией (kyber). |
|
|
|
От этого может зависеть работоспособность стратегий. |
|
|
|
Обычно остальные домены блокированы подобным образом, **но не факт**. |
|
|
|
Бывают специальные блокировки. Некоторые параметры требуют тюнинга под "общий знаменатель". |
|
|
|
В большинстве случаев можно объединить несколько стратегий в одну универсальную, и это **крайне |
|
|
|
желательно**, но это требует понимания как работают стратегии. zapret **не может |
|
|
|
пробить блокировку по IP адресу**. Для проверки нескольких доменов вводите их через пробел. |
|
|
|
|
|
|
|
> Сейчас блокираторы ставят на магистральных каналах. В сложных случаях у |
|
|
|
> вас может быть несколько маршрутов с различной длиной по ХОПам, с DPI на |
|
|
|
> разных хопах. Приходится преодолевать целый зоопарк DPI, которые еще и |
|
|
|
> включаются в работу хаотичным образом или образом, зависящим от |
|
|
|
> направления (IP сервера). скрипт не всегда может выдать вам в итогах |
|
|
|
> оптимальную стратегию, которую надо просто переписать в настройки. В |
|
|
|
> некоторых случаях надо реально думать что происходит, анализируя результат |
|
|
|
> на разных стратегиях. |
|
|
|
> |
|
|
|
> Далее, имея понимание что работает на http, https, quic, нужно сконструировать параметры запуска winws |
|
|
|
> с использованием мультистратегии. Как работают мультистратегии описано в [readme.md](./readme.md#множественные-стратегии). |
|
|
|
@ -170,6 +164,15 @@ blockcheck перейдет в этом случае на **DoH** _(DNS over HTT |
|
|
|
> |
|
|
|
> В этих примерах wssize будет применяться всегда к порту tcp 443, а хостлист будет игнорироваться. |
|
|
|
> К http применять wssize вредно и бессмысленно. |
|
|
|
> |
|
|
|
> Иногда требуется дописать к стратегиям свои собственные параметры. |
|
|
|
> Например, нужно изменить количество повторов фейков или задать свой фейк. |
|
|
|
> Это делается через шелл-переменные `PKTWS_EXTRA`, `TPWS_EXTRA`. Пользуйтесь шеллом `cygwin/cygwin-admin.cmd`. |
|
|
|
> |
|
|
|
> ```PKTWS_EXTRA="--dpi-desync-repeats=10 --dpi-desync-fake-tls=/tmp/tls.bin" blockcheck |
|
|
|
> |
|
|
|
> Перебор всех комбинаций может привести к ожиданию неделями, поэтому выбран разумный |
|
|
|
> костяк проверки, на который вы можете навешивать свои кустомизации. |
|
|
|
|
|
|
|
7) Протестируйте найденные стратегии на winws. Winws следует брать из zapret-winws. |
|
|
|
Для этого откройте командную строку windows от имени администратора в директории zapret-winws. |
|
|
|
|
bol-van
8 months ago