nfqws: conntrack

docs/readme.txt

@@ -1,4 +1,4 @@
-zapret v.38
+zapret v.39
 
 English
 -------
@@ -179,7 +179,9 @@ nfqws
  --uid=uid[:gid]			; менять uid процесса
  --qnum=N				; номер очереди N
  --wsize=<winsize>[:<scale_factor>]	; менять tcp window size на указанный размер в SYN,ACK. если не задан scale_factor, то он не меняется (устарело !)
- --wssize=<winsize>[:<scale_factor>]	; менять tcp window size на указанный размер во всех пакетах, кроме SYN,ACK. scale_factor по умолчанию 0.
+ --wssize=<winsize>[:<scale_factor>]	; менять tcp window size на указанный размер в исходящих пакетах. scale_factor по умолчанию 0. (см. conntrack !)
+ --wssize-cutoff=N                      ; применять изменение server window size в исходящих пакетах по номеру меньше N
+ --ctrack-timeouts=S:E:F                ; таймауты внутреннего conntrack в состояниях SYN, ESTABLISHED, FIN. по умолчанию 60:300:60
  --hostcase				; менять регистр заголовка "Host:" по умолчанию на "host:".
  --hostnospace				; убрать пробел после "Host:" и переместить его в конец значения "User-Agent:" для сохранения длины пакета
  --hostspell=HoST			; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
@@ -265,8 +267,9 @@ disorder2 и split2 не предполагают отсылку фейк пак
 тогда вероятно DPI реагирует на ответ сервера.
 DPI может отстать от потока, если ClientHello его удовлетворил и не проверять ServerHello.
 Тогда вам повезло. Вариант fake может сработать.
-Если же он не отстает и упорно проверяет ServerHello, еще и выполняя реконструкцию сегментов TCP,
-то сделать с этим что-либо вряд ли возможно без помощи со стороны сервера.
+Если же он не отстает и упорно проверяет ServerHello, то можно попробовать заставить сервер высылать ServerHello частями
+через параметр --wssize (см. conntrack).
+Если и это не помогает, то сделать с этим что-либо вряд ли возможно без помощи со стороны сервера.
 Лучшее решение - включить на сервере поддержку TLS 1.3. В нем сертификат сервера передается в зашифрованном виде.
 Это рекомендация ко всем админам блокируемых сайтов. Включайте TLS 1.3. Так вы дадите больше возможностей преодолеть DPI.
 
@@ -306,6 +309,41 @@ mark нужен, чтобы сгенерированный поддельный
 Изнутри VM от virtualbox и vmware в режиме NAT не работают многие техники пакетной магии nfqws.
 Принудительно заменяется ttl, не проходят фейк пакеты. Необходимо настроить сеть в режиме bridge.
 
+CONNTRACK
+nfqws оснащен ограниченной реализацией слежения за состоянием tcp соединений (conntrack).
+Он включается для реализации некоторых методов противодействия DPI. На текущий момент это параметр --wssize.
+conntrack способен следить за фазой соединения : SYN,ESTABLISHED,FIN , количеством пакетов в каждую сторону, sequence numbers.
+conntrack способен "кормиться" пакетами в обе или только в одну сторону.
+Соединение попадает в таблицу при обнаружении пакетов с выставленными флагами SYN или SYN,ACK.
+Поэтому если необходим conntrack, в правилах перенаправления iptables соединение должно идти на nfqws с самого первого пакета,
+хотя затем может обрываться по фильтру connbytes.
+conntrack - простенький, он не писался с учетом всевозможных атак на соединение, он не проверяет
+пакеты на валидность sequence numbers или чексумму. Его задача - лишь обслуживание нужд nfqws, он обычно
+кормится только исходящим трафиком, потому нечувствителен к подменам со стороны внешней сети.
+Соединение удаляется из таблицы, как только отпадает нужда в слежении за ним или по таймауту неактивности.
+Существуют отдельные таймауты на каждую фазу соединения. Они могут быть изменены параметром --ctrack-timeouts.
+
+--wssize позволяет изменить с клиента размер tcp window для сервера, чтобы он послал следующие ответы разбитыми на части.
+Чтобы это подействовало на все серверные ОС, необходимо менять window size в каждом исходящем с клиента пакете до отсылки сообщения,
+ответ на который должен быть разбит (например, TLS ClientHello). Именно поэтому и необходим conntrack, чтобы
+знать когда надо остановиться. Если не остановиться и все время устанавливать низкий wssize, скорость упадет катастрофически.
+В linux это может быть купировано через connbytes, но в BSD системах такой возможности нет.
+В случае http(s) останавливаемся сразу после отсылки первого http запроса или TLS ClientHello.
+Если вы имеете дело с не http(s), то вам потребуется параметр --wssize-cutoff. Он устанавливает номер исходящего
+пакета, с которого действие wssize прекращается. Если ваш протокол склонен к долгому бездействию, следует увеличить
+таймаут фазы ESTABLISHED через параметр --ctrack-timeouts. Таймаут по умолчанию низкий - всего 5 минут.
+Не забывайте, что nfqws кормится приходящими на него пакетами. Если вы ограничили поступление пакетов через connbytes,
+то в таблице могут остаться повисшие соединения в фазе ESTABLISHED, которые отвалятся только по таймауту.
+Для диагностики состояния conntrack пошлите сигнал SIGUSR1 процессу nfqws : killall -SIGUSR1 nfqws.
+Текущая таблица будет выведена nfqws в stdout.
+
+Обычно в SYN пакете клиент отсылает кроме window size еще и TCP extension "scaling factor".
+scaling factor представляет себя степень двойки, на которую умножается window size : 0=>1, 1=>2, 2=>4, ..., 8=>256, ...
+В параметре wssize указывается scaling factor указывается через двоеточие.
+Scaling factor может только снижаться, увеличение заблокировано, чтобы не допустить превышение размера окна со стороны сервера.
+Для принуждения сервера к фрагментации ServerHello, чтобы избежать просекание имени сервера из сертификата сервера на DPI,
+лучше всего использовать --wssize=1:6
+
 
 tpws
 -----