nfqws: packet delay support

docs/readme.txt

@@ -1,4 +1,4 @@
-zapret v.56
+zapret v.57
 
 English
 -------
@@ -246,7 +246,6 @@ nfqws
  --dpi-desync-autottl=[<delta>[:<min>[-<max>]]] ; режим auto ttl для ipv4 и ipv6. по умолчанию: 1:3-20. delta=0 отключает функцию.
  --dpi-desync-autottl6=[<delta>[:<min>[-<max>]]] ; переопределение предыдущего параметра для ipv6
  --dpi-desync-fooling=<fooling>			; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера. none md5sig badseq badsum datanoack hopbyhop hopbyhop2
- --dpi-desync-retrans=0|1               	; (только для fake,rst,rstack) 0(default)=отправлять оригинал следом за фейком  1=дропать оригинал, заставляя ОС выполнять ретрансмиссию через 0.2 сек
  --dpi-desync-repeats=<N>       	        ; посылать каждый генерируемый в nfqws пакет N раз (не влияет на остальные пакеты)
  --dpi-desync-skip-nosni=0|	1		; 1(default)=не применять dpi desync для запросов без hostname в SNI, в частности для ESNI
  --dpi-desync-split-pos=<1..1500>		; (только для split*, disorder*) разбивать пакет на указанной позиции
@@ -352,11 +351,7 @@ fakeknown отличается от fake тем, что применяется
 
 Режимы дурения могут сочетаться в любых комбинациях. --dpi-desync-fooling берет множество значений через запятую.
 
-Для режимов fake, rst, rstack после фейка отправляем оригинальный пакет. Можно его отправить сразу следом за фейком, а можно его просто дропнуть.
-Если его дропнуть, ОС выполнит ретрансмиссию. Первая ретрансмиссия случается через 0.2 сек, потом задержка увеличивается экспоненциально.
-Задержка может дать надежную гарантию, что пакеты пойдут именно в нужном порядке и будут именно в нем обработаны на DPI.
-По умолчанию используется первый вариант, т.к. он быстрее.
-При использовании dpi-desync-retrans=1 обязательно вставлять ограничитель connbytes в iptables, иначе получим зацикливание.
+Для режимов fake, rst, rstack после фейка отправляем оригинальный пакет.
 
 Режим disorder делит оригинальный пакет на 2 части и отправляет следующую комбинацию в указанном порядке :
 1. 2-я часть пакета
@@ -529,16 +524,17 @@ window size итоговый размер окна стал максимальн
 На склонных к бездействию соединениях следует изменить таймауты conntrack.
 Если соединение выпало из conntrack и задана опция --dpi-desync-cutoff, dpi desync применяться не будет.
 
-РЕАССЕМБЛИНГ TCP
-nfqws поддерживает реассемблинг некоторых видов tcp запросов.
-На текущий момент это TLS ClientHello. Он бывает длинным, если в chrome включить пост-квантовую
-криптографию tls-kyber, и занимает как правило 2 пакета.
+РЕАССЕМБЛИНГ
+nfqws поддерживает реассемблинг некоторых видов запросов.
+На текущий момент это TLS и QUIC ClientHello. Они бывает длинными, если в chrome включить пост-квантовую
+криптографию tls-kyber, и занимают как правило 2 или 3 пакета. kyber включен по умолчанию, начиная с chromium 124.
 chrome рандомизирует фингерпринт TLS. SNI может оказаться как в начале, так и в конце, то есть
-попасть в 1 или 2 пакет. stateful DPI обычно реассемблирует запрос целиком, и только потом
+попасть любой пакет. stateful DPI обычно реассемблирует запрос целиком, и только потом
 принимает решение о блокировке.
-nfqws реагирует десинхронизацией на каждый пакет из TLSClientHello, если задана опция
---dpi-desync-skip-nosni=0. В противном случае десинхронизация идет на сам пакет,
-включающий SNI, и все последующие.
+В случае получения TLS или QUIC пакета с частичным ClientHello начинается процесс сборки, а пакеты
+задерживаются и не отсылаются до ее окончания. По окончании сборки первый пакет проходит через десинхронизацию
+на основании полностью собранного ClientHello. Остальные пакеты отсылаются без десинхронизации.
+При любой ошибке в процессе сборки задержанные пакеты немедленно отсылаются в сеть, а десинхронизация отменяется.
 
 ПОДДЕРЖКА UDP
 Атаки на udp более ограничены в возможностях. udp нельзя фрагментировать иначе, чем на уровне ip.