|
|
|
@ -694,14 +694,14 @@ tpws полностью работает на асинхронных сокет |
|
|
|
--disorder является дополнительным флагом к любому сплиту. Сам по себе он не делает ничего. |
|
|
|
|
|
|
|
--tlsrec и --tlsrec-pos позволяют внутри одного tcp сегмента разрезать TLS ClientHello на 2 TLS records. |
|
|
|
--tlsrec=sni режет между 1 и 2 символами hostname в SNI, делая невозможным бинарный поиск паттерна без анализа структуры данных. |
|
|
|
В случае отсутствия SNI разбиение отменяется. |
|
|
|
--tlsrec=sni режет между 1 и 2 символами hostname в SNI, делая невозможным бинарный поиск паттерна без анализа |
|
|
|
структуры данных. В случае отсутствия SNI разбиение отменяется. |
|
|
|
--tlsrec-pos режет на указанной позиции. Если длина блока данных TLS меньше указанной позиции, режем на позиции 1. |
|
|
|
Параметр сочетается с --split-pos. В этом случае происходит сначала разделение на уровне TLS record layer, потом на уровне TCP. |
|
|
|
Самая изорщенная атака --tslrec, --split-pos и --disorder вместе. |
|
|
|
--tlsrec ломает значительное количество сайтов. Криптобиблиотеки (openssl, ...) на оконечных http серверах без проблем |
|
|
|
принимают разделенные tls сегменты, но мидлбоксы - не всегда. К мидлбоксам можно отнести CDN или системы ddos-защиты. |
|
|
|
Поэтому применение --tlsrec без ограничителей вряд ли целесообразно. |
|
|
|
--tlsrec ломает значительное количество сайтов. Криптобиблиотеки (openssl, ...) на оконечных http серверах |
|
|
|
без проблем принимают разделенные tls сегменты, но мидлбоксы - не всегда. К мидлбоксам можно отнести CDN |
|
|
|
или системы ddos-защиты. Поэтому применение --tlsrec без ограничителей вряд ли целесообразно. |
|
|
|
В РФ --tlsrec обычно не работает с TLS 1.2, потому что цензор парсит сертификат сервера из ServerHello. |
|
|
|
Работает только с TLS 1.3, поскольку там эта информация шифруется. |
|
|
|
Впрочем, сейчас сайтов, не поддерживающих TLS 1.3, осталось немного. |
|
|
|
|
bol-van
2 years ago