update docs

2025-08-10 01:02:03 +03:00 · 2025-01-28 11:41:42 +03:00
parent 33d3059dc8
commit 35c3216287
2 changed files with 35 additions and 0 deletions
--- a/docs/readme.md
+++ b/docs/readme.md
@@ -21,6 +21,7 @@ zapret является свободным и open source.
  - [nfqws](#nfqws)
    - [АТАКА ДЕСИНХРОНИЗАЦИИ DPI](#атака-десинхронизации-dpi)
    - [ФЕЙКИ](#фейки)
+    - [МОДИФИКАЦИЯ ФЕЙКОВ](#модификация-фейков)
    - [TCP СЕГМЕНТАЦИЯ](#tcp-сегментация)
    - [ПЕРЕКРЫТИЕ SEQUENCE NUMBERS](#перекрытие-sequence-numbers)
    - [СПЕЦИФИЧЕСКИЕ РЕЖИМЫ IPV6](#специфические-режимы-ipv6)
@@ -193,6 +194,7 @@ dvtws, собираемый из тех же исходников (см. [док
 --dpi-desync-any-protocol=0|1                      ; 0(default)=работать только по http request и tls clienthello  1=по всем непустым пакетам данных
 --dpi-desync-fake-http=<filename>|0xHEX	           ; файл, содержащий фейковый http запрос для dpi-desync=fake, на замену стандартному www.iana.org
 --dpi-desync-fake-tls=<filename>|0xHEX             ; файл, содержащий фейковый tls clienthello для dpi-desync=fake, на замену стандартному
+--dpi-desync-fake-tls-mod=mod[,mod]                ; список через запятую режимов runtime модификации фейков : none,rnd,rndsni,padencap
 --dpi-desync-fake-unknown=<filename>|0xHEX         ; файл, содержащий фейковый пейлоад неизвестного протокола для dpi-desync=fake, на замену стандартным нулям 256 байт
 --dpi-desync-fake-syndata=<filename>|0xHEX         ; файл, содержащий фейковый пейлоад пакета SYN для режима десинхронизации syndata
 --dpi-desync-fake-quic=<filename>|0xHEX            ; файл, содержащий фейковый QUIC Initial
@@ -312,6 +314,23 @@ dvtws, собираемый из тех же исходников (см. [док

 Режимы дурения могут сочетаться в любых комбинациях. `--dpi-desync-fooling` берет множество значений через запятую.

+### МОДИФИКАЦИЯ ФЕЙКОВ
+
+В nfqws зашит базовый вариант фейка для TLS. Его можно переопределить опцией `--dpi-desync-fake-tls`.
+Переопределение фейков дает возможность использовать любые данные в качестве фейка для TLS.
+Можно использовать фейковый Client Hello с любым фингерпринтом и с любым SNI.
+Однако, некоторые модификации можно делать в процессе выполнения с помощью `--dpi-desync-fake-tls-mod`.
+Часть из них работает при обработке каждого TLS Client Hello и может подстраиваться под отправляемые данные.
+Модификации требуют наличия полного валидного TLS Client Hello в качестве фейка, они не работают с произвольными данными.
+
+ * `none`. Не применять никакие модификации.
+ * `rnd`. Рандомизировать поля `random` и `session id`. Выполняется на каждый запрос.
+ * `rndsni`. Рандомизировать SNI. Если SNI >=7 символов, применяется случайный домен 2 уровня с известным TLD, иначе заполняется случайными символами без точки. Выполняется один раз при старте.
+ * `padencap`. Расширяется padding extension на размер передаваемого TLS Client Hello (включая многопакетный вариант с kyber). Если padding отсутствует, он добавляется в конец. Если присутствует - требуется, чтобы padding шел последним extension. Правятся все длины, чтобы создать видимость включения передаваемого TLS Client Hello в padding extension. Размер фейка не изменяется. Расчет идет на DPI, который не анализирует sequence numbers должным образом. Выполняется на каждый запрос.
+
+По умолчанию если не задан собственный фейк для TLS используются модификации `rnd,rndsni`. Если фейк задан, используется `none`.
+Это соответствует поведению программы более старых версий.
+
 ### TCP СЕГМЕНТАЦИЯ

 * `multisplit`. нарезаем запрос на указанных в `--dpi-desync-split-pos` позициях.