diff --git a/docs/changes.txt b/docs/changes.txt index a569fb4..50ba608 100644 --- a/docs/changes.txt +++ b/docs/changes.txt @@ -287,3 +287,10 @@ nfqws: --qnum is mandatory, no more default queue 0 v58 winws + +v59 + +tpws: --split-tls +tpws: --tlsrec=sniext +nfqws: --dpi-desync-split-http-req, --dpi-desync-split-tls. multi segment TLS support for split. +blockcheck: mdig dns cache diff --git a/docs/readme.eng.md b/docs/readme.eng.md index 41ed042..392f25f 100644 --- a/docs/readme.eng.md +++ b/docs/readme.eng.md @@ -178,6 +178,8 @@ nfqws takes the following parameters: --dpi-desync-repeats= ; send every desync packet N times --dpi-desync-skip-nosni=0|1 ; 1(default)=do not act on ClientHello without SNI (ESNI ?) --dpi-desync-split-pos=<1..9216> ; data payload split position + --dpi-desync-split-http-req=method|host ; split at specified logical part of plain http request + --dpi-desync-split-tls=sni|sniext ; split at specified logical part of TLS ClientHello --dpi-desync-ipfrag-pos-tcp=<8..9216> ; ip frag position starting from the transport header. multiple of 8, default 8. --dpi-desync-ipfrag-pos-udp=<8..9216> ; ip frag position starting from the transport header. multiple of 8, default 32. --dpi-desync-badseq-increment= ; badseq fooling seq signed increment. default -10000 @@ -467,6 +469,12 @@ If nfqws receives a partial ClientHello it begins reassemble session. Packets ar Then the first packet goes through desync using fully reassembled message. Other packets are sent without desync. On any error reassemble is cancelled and all delayed packets are sent immediately without desync. +There is special support for all tcp split options for multi segment TLS. Split position is treated +as message-oriented, not packet oriented. For example, if your client sends TLS ClientHello with size 2000 +and SNI is at 1700, desync mode is fake,split2, then fake is sent first, then original first segment +and the last splitted segment. 3 segments total. + + ### UDP support UDP attacks are limited. Its not possible to fragment UDP on transport level, only on network (ip) level. @@ -587,6 +595,7 @@ tpws is transparent proxy. --hostlist-auto-debug= ; debug auto hostlist positives --split-http-req=method|host ; split http request at specified logical position. + --split-tls=sni|sniext ; split at specified logical part of TLS ClientHello --split-pos= ; split at specified pos. split-http-req takes precedence over split-pos for http reqs. --split-any-protocol ; split not only http and https --disorder[=http|tls] ; when splitting simulate sending second fragment first @@ -602,7 +611,7 @@ tpws is transparent proxy. --methodspace ; add extra space after method --methodeol ; add end-of-line before method --unixeol ; replace 0D0A to 0A - --tlsrec=sni ; make 2 TLS records. split at SNI. don't split if SNI is not present. + --tlsrec=sni|sniext ; make 2 TLS records. split at specified logical part. don't split if SNI is not present. --tlsrec-pos= ; make 2 TLS records. split at specified pos --mss= ; set client MSS. forces server to split messages but significantly decreases speed ! --mss-pf=[~]port1[-port2] ; MSS port filter. ~ means negation diff --git a/docs/readme.txt b/docs/readme.txt index a1fcb5c..90425ce 100644 --- a/docs/readme.txt +++ b/docs/readme.txt @@ -1,4 +1,4 @@ -zapret v.58 +zapret v.59 English ------- @@ -251,6 +251,8 @@ nfqws --dpi-desync-repeats= ; посылать каждый генерируемый в nfqws пакет N раз (не влияет на остальные пакеты) --dpi-desync-skip-nosni=0| 1 ; 1(default)=не применять dpi desync для запросов без hostname в SNI, в частности для ESNI --dpi-desync-split-pos=<1..1500> ; (только для split*, disorder*) разбивать пакет на указанной позиции + --dpi-desync-split-http-req=method|host ; разбивка http request на указанном логическом месте + --dpi-desync-split-tls=sni|sniext ; разбивка tls client hello на указанном логическом месте --dpi-desync-badseq-increment= ; инкремент sequence number для badseq. по умолчанию -10000 --dpi-desync-badack-increment= ; инкремент ack sequence number для badseq. по умолчанию -66000 --dpi-desync-any-protocol=0|1 ; 0(default)=работать только по http request и tls clienthello 1=по всем непустым пакетам данных @@ -538,6 +540,13 @@ chrome рандомизирует фингерпринт TLS. SNI может о на основании полностью собранного ClientHello. Остальные пакеты отсылаются без десинхронизации. При любой ошибке в процессе сборки задержанные пакеты немедленно отсылаются в сеть, а десинхронизация отменяется. +Есть специальная поддержка всех вариантов tcp сплита для многосегментного TLS. +Если указать позицию сплита больше длины первого пакета или использовать --dpi-desync-split-tls, +то разбивка происходит не обязательно первого пакета, а того, на который пришлась итоговая позиция. +Если, допустим, клиент послал TLS ClientHello длиной 2000, а SNI начаинается с 1700, +и заданы опции fake,split2, то перед первым пакетом идет fake, затем первый пакет в оригинале, +а последний пакет разбивается на 2 сегмента. В итоге имеем фейк в начале и 3 реальных сегмента. + ПОДДЕРЖКА UDP Атаки на udp более ограничены в возможностях. udp нельзя фрагментировать иначе, чем на уровне ip. Для UDP действуют только режимы десинхронизации fake,hopbyhop,destopt,ipfrag1,ipfrag2,udplen,tamper. @@ -676,7 +685,7 @@ tpws - это transparent proxy. --methodspace ; добавить пробел после метода : "GET /" => "GET /" --methodeol ; добавить перевод строки перед методом : "GET /" => "\r\nGET /" --unixeol ; конвертировать 0D0A в 0A и использовать везде 0A - --tlsrec=sni ; разбивка TLS ClientHello на 2 TLS records. режем между 1 и 2 символами hostname в SNI. Если SNI нет - отмена. + --tlsrec=sni|sniext ; разбивка TLS ClientHello на 2 TLS records. режем между 1 и 2 символами hostname в SNI или между байтами длины SNI extension. Если SNI нет - отмена. --tlsrec-pos= ; разбивка TLS ClientHello на 2 TLS records. режем на указанной позиции, если длина слишком мелкая - на позиции 1. --mss= ; установить MSS для клиента. может заставить сервер разбивать ответы, но существенно снижает скорость --mss-pf=[~]port1[-port2] ; применять MSS только к портам назначения, подпадающим под фильтр. ~ означает инверсию