|
|
|
@ -338,8 +338,8 @@ dvtws, собираемый из тех же исходников (см. [bsd.tx |
|
|
|
посылать пакет с инвалидной чексуммой, добавлять tcp option **MD5 signature**, испортить sequence numbers. Все они не |
|
|
|
лишены недостатков. |
|
|
|
|
|
|
|
* md5sig работает не на всех серверах. Пакеты с md5 обычно отбрасывают только linux. |
|
|
|
* badsum не сработает, если ваше устройство за NAT, который не пропускает пакеты с инвалидной суммой. Наиболее |
|
|
|
* `md5sig` работает не на всех серверах. Пакеты с md5 обычно отбрасывают только linux. |
|
|
|
* `badsum` не сработает, если ваше устройство за NAT, который не пропускает пакеты с инвалидной суммой. Наиболее |
|
|
|
распространенная настройка NAT роутера в Linux их не пропускает. На Linux построено большинство домашних роутеров. |
|
|
|
Непропускание обеспечивается так : настройка ядра sysctl по умолчанию |
|
|
|
`net.netfilter.nf_conntrack_checksum=1` заставляет conntrack проверять tcp и udp чексуммы входящих пакетов и |
|
|
|
@ -355,14 +355,14 @@ dvtws, собираемый из тех же исходников (см. [bsd.tx |
|
|
|
себя ведут некоторые роутеры на базе mediatek. badsum пакеты уходят с клиентской ОС, но роутером не видятся в br-lan |
|
|
|
через tcpdump. При этом если nfqws выполняется на самом роутере, обход может работать. badsum нормально уходят с |
|
|
|
внешнего интерфейса. |
|
|
|
* Пакеты с badseq будут наверняка отброшены принимающим узлом, но так же и DPI, если он ориентируется на sequence |
|
|
|
* Пакеты с `badseq` будут наверняка отброшены принимающим узлом, но так же и DPI, если он ориентируется на sequence |
|
|
|
numbers. По умолчанию смещение seq выбирается -10000. Практика показала, что некоторые DPI не пропускают seq вне |
|
|
|
определенного окна. Однако, такое небольшое смещение может вызвать проблемы при существенной потоковой передаче и |
|
|
|
потере пакетов. Если вы используете `--dpi-desync-any-protocol`, может понадобится установить badseq increment |
|
|
|
0x80000000. Это обеспечит надежную гарантию, что поддельный пакет не вклинится в tcp window на сервере. Так же было |
|
|
|
замечено, что badseq ломает логику некоторых DPI при анализе http, вызывая зависание соединения. Причем на тех же DPI |
|
|
|
TLS с badseq работает нормально. |
|
|
|
* TTL казалось бы - лучший вариант, но он требует индивидуальной настройки под каждого провайдера. Если DPI находится |
|
|
|
* `TTL` казалось бы - лучший вариант, но он требует индивидуальной настройки под каждого провайдера. Если DPI находится |
|
|
|
дальше локальных сайтов провайдера, то вы можете отрезать себе доступ к ним. Ситуация усугубляется наличием ТСПУ на |
|
|
|
магистралах, что вынуждает делать TTL достаточно высоким, увеличивая риск пробоя фейка до сервера. Необходим ip |
|
|
|
exclude list, заполняемый вручную. Вместе с ttl можно применять md5sig. Это ничего не испортит, зато дает неплохой |
|
|
|
|
bol-van
5 months ago