autottl, datanoack, oob, postnat

docs/readme.txt

@@ -1,4 +1,4 @@
-zapret v.53
+zapret v.54
 
 English
 -------
@@ -137,6 +137,14 @@ iptables -t mangle -I POSTROUTING -o <внешний_интерфейс> -p tcp
 Если применяется фильтр по connbytes 1:6, то обязательно добавлять в iptables и фильтр по mark. Иначе возможно
 перепутывание порядка следования пакетов, что приведет к неработоспособности метода.
 
+Для некоторых атак на DPI требуется перенаправлять один или несколько входящих пакетов от соединения :
+
+iptables -t mangle -I PREROUTING -i <внешний_интерфейс> -p tcp --sport 80 -m connbytes --connbytes-dir=reply --connbytes-mode=packets --connbytes 1:6 -m set --match-set zapret src -j NFQUEUE --queue-num 200 --queue-bypass
+
+Получаемые пакеты будут фильтровться по входящему интерфейсу, порту и IP источника, то есть наоборот прямому правилу.
+
+Некоторые техники, ломающие NAT, не всегда можно реализовать через iptables. Требуются nftables.
+
 
 Если ваше устройство поддерживает аппаратное ускорение (flow offloading, hardware nat, hardware acceleration), то iptables могут не работать.
 При включенном offloading пакет не проходит по обычному пути netfilter.
@@ -176,11 +184,17 @@ NFQUEUE работает без изменений.
 Если коротко, то в nftables невозможно работать с большими ip листами на системах с малым количеством RAM.
 Остальные рассматриваемые здесь функции могут быть перенесены на nftables.
 
-Рекомендуется версия nft 1.0.2 или выше.
+Рекомендуется версия nft 1.0.2 или выше. Но чем выше версия, тем лучше. В nft регулярно находят баги.
 
 Относительно старые версии ядра и/или утилиты nft могут вызывать ошибки.
 В частности, на ubuntu 18.04 с ядром 4.15 будут проблемы. В 20.04 - работает.
 
+Некоторые техники можно полноценно использовать только с nftables.
+Например, в iptables невозможно перенаправить пакеты на nfqws после NAT.
+Следовательно, при использовании NAT невозможно произвести атаку, не совместимую с NAT.
+В nftables этой проблемы не существует, потому что приоритеты хука выставляете вы сами, а не привязаны к фиксированным
+значениям, соответствующим разным таблицам iptables. В iptables нет таблицы, способной перехватить пакеты после MASQUERDADE.
+
 
 Когда это работать не будет
 ---------------------------
@@ -226,7 +240,9 @@ nfqws
  --dpi-desync-fwmark=<int|0xHEX>        	; бит fwmark для пометки десинхронизирующих пакетов, чтобы они повторно не падали в очередь. default = 0x40000000
  --dpi-desync-ttl=<int>                 	; установить ttl для десинхронизирующих пакетов
  --dpi-desync-ttl6=<int>               		; установить ipv6 hop limit для десинхронизирующих пакетов. если не указано, используется значение ttl
- --dpi-desync-fooling=<fooling>			; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера. none md5sig badseq badsum hopbyhop hopbyhop2
+ --dpi-desync-autottl=[<delta>[:<min>[-<max>]]] ; режим auto ttl для ipv4 и ipv6. по умолчанию: 1:3-20. delta=0 отключает функцию.
+ --dpi-desync-autottl6=[<delta>[:<min>[-<max>]]] ; переопределение предыдущего параметра для ipv6
+ --dpi-desync-fooling=<fooling>			; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера. none md5sig badseq badsum datanoack hopbyhop hopbyhop2
  --dpi-desync-retrans=0|1               	; (только для fake,rst,rstack) 0(default)=отправлять оригинал следом за фейком  1=дропать оригинал, заставляя ОС выполнять ретрансмиссию через 0.2 сек
  --dpi-desync-repeats=<N>       	        ; посылать каждый генерируемый в nfqws пакет N раз (не влияет на остальные пакеты)
  --dpi-desync-skip-nosni=0|	1		; 1(default)=не применять dpi desync для запросов без hostname в SNI, в частности для ESNI
@@ -246,7 +262,7 @@ nfqws
  --hostlist=<filename>			        ; применять дурение только к хостам из листа. может быть множество листов, они обьединяются. пустой обший лист = его отсутствие
  --hostlist-exclude=<filename>		        ; не применять дурение к хостам из листа. может быть множество листов, они обьединяются
  --hostlist-auto=<filename>                     ; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика)
- --hostlist-auto-fail-threshold=<int>           ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 2)
+ --hostlist-auto-fail-threshold=<int>           ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3)
  --hostlist-auto-fail-time=<int>                ; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60)
  --hostlist-auto-retrans-threshold=<int>        ; сколько ретрансмиссий запроса считать блокировкой (по умолчанию: 3)
  --hostlist-auto-debug=<logfile>        	; лог положительных решений по autohostlist. позволяет разобраться почему там появляются хосты.
@@ -308,6 +324,19 @@ fakeknown отличается от fake тем, что применяется
   стеком протоколов во всех ОС. Один хедер hop-by-hop принимается всеми ОС, однако на некоторых каналах/провайдерах
   такие пакеты могут фильтроваться и не доходить. Расчет идет на то, что DPI проанализирует пакет с hop-by-hop,
   но он либо не дойдет до адресата всилу фильтров провайдера, либо будет отброшен сервером, потому что хедера два.
+* datanoack высылает фейки со снятым tcp флагом ACK. Сервера такое не принимают, а DPI может принять.
+  Эта техника ломает NAT и не работает с iptables, если используется masquerade, даже с локальной системы
+  (почти всегда для ipv4). С nftables работает без ограничений. Требуется внешний IP адрес.
+* autottl. Суть режима в автоматическом определении TTL, чтобы он почти наверняка прошел DPI и немного не дошел до сервера.
+  Берутся базовые значения TTL 64,128,255, смотрится входящий пакет (да, требуется направить первый входящий пакет на nfqws !).
+  Вычисляется длина пути, отнимается delta (1 по умолчанию). Если TTL вне диапазона (min,max - 3,20 по умолчанию),
+  то берутся значения min,max, чтобы вписаться в диапазон. Если при этом полученый TTL больше длины пути,
+  то автоматизм не сработал и берутся фиксированные значения TTL для атаки.
+  Техника позволяет решить вопрос , когда вся сеть перегорожена шлагбаумами (DPI, ТСПУ) везде где только можно,
+  включая магистралов. Но потенциально может давать сбои.
+  Например, при ассиметрии входящего и исходящего канала до конкретного сервера.
+  На каких-то провайдерах эта техника будет работать неплохо, на других доставит больше проблем, чем пользы.
+  Где-то может потребоваться тюнинг параметров. Лучше использовать с дополнительным ограничителем.
 
 Режимы дурения могут сочетаться в любых комбинациях. --dpi-desync-fooling берет множество значений через запятую.
 
@@ -617,6 +646,7 @@ tpws - это transparent proxy.
  --split-pos=<offset>	; делить все посылы на сегменты в указанной позиции. единственная опция, работающая на не-http. при указании split-http-req он имеет преимущество на http.
  --split-any-protocol	; применять split-pos к любым пакетам. по умолчанию - только к http и TLS ClientHello
  --disorder		; путем манипуляций с сокетом вынуждает отправлять первым второй сегмент разделенного запроса
+ --oob			; отправить 1 нулевой байт out-of-band data (OOB) в конце первой части сплита
  --hostcase             ; менять регистр заголовка "Host:". по умолчанию на "host:".
  --hostspell=HoST	; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
  --hostdot		; добавление точки после имени хоста : "Host: kinozal.tv."
@@ -638,7 +668,7 @@ tpws - это transparent proxy.
 			; хосты извлекаются из Host: хедера обычных http запросов и из SNI в TLS ClientHello.
  --hostlist-exclude=<filename>		; не применять дурение к доменам из листа. может быть множество листов, они обьединяются
  --hostlist-auto=<filename>             ; обнаруживать автоматически блокировки и заполнять автоматический hostlist (требует перенаправления входящего трафика)
- --hostlist-auto-fail-threshold=<int>   ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 2)
+ --hostlist-auto-fail-threshold=<int>   ; сколько раз нужно обнаружить ситуацию, похожую на блокировку, чтобы добавить хост в лист (по умолчанию: 3)
  --hostlist-auto-fail-time=<int>        ; все эти ситуации должны быть в пределах указанного количества секунд (по умолчанию: 60)
  --hostlist-auto-debug=<logfile>       	; лог положительных решений по autohostlist. позволяет разобраться почему там появляются хосты.
 
@@ -1087,6 +1117,7 @@ TPWS_OPT="--hostspell=HOST --split-http-req=method --split-pos=3"
 Опции nfqws для атаки десинхронизации DPI :
 
 DESYNC_MARK=0x40000000
+DESYNC_MARK_POSTNAT=0x20000000
 NFQWS_OPT_DESYNC="--dpi-desync=fake --dpi-desync-ttl=0 --dpi-desync-fooling=badsum"
 
 Задание раздельных опций nfqws для http и https и для версий ip протоколов 4,6 :