nfqws: hop-by-hop ipv6 fooling and desync

docs/changes.txt

@@ -214,3 +214,7 @@ nfqws: UDP desync with conntrack support (any-protocol only for now)
 v44
 
 nfqws: ipfrag
+
+v45
+
+nfqws: hop-by-hop ipv6 desync and fooling

docs/readme.eng.md

@@ -139,11 +139,11 @@ nfqws takes the following parameters:
  --pidfile=<filename>  			; write pid to file
  --user=<username>      		; drop root privs
  --uid=uid[:gid]			; drop root privs
- --dpi-desync=[<mode0,]<mode>[,<mode2>]	; desync dpi state. modes : synack fake rst rstack disorder disorder2 split split2 ipfrag2
+ --dpi-desync=[<mode0,]<mode>[,<mode2>]	; desync dpi state. modes : synack fake rst rstack hopbyhop disorder disorder2 split split2 ipfrag2
  --dpi-desync-fwmark=<int|0xHEX>        ; override fwmark for desync packet. default = 0x40000000
  --dpi-desync-ttl=<int>                 ; set ttl for desync packet
  --dpi-desync-ttl6=<int>                ; set ipv6 hop limit for desync packet. by default ttl value is used
- --dpi-desync-fooling=none|md5sig|ts|badseq|badsum ; can take multiple comma separated values
+ --dpi-desync-fooling=<fooling>		; can take multiple comma separated values : none md5sig badseq badsum hopbyhop hopbyhop2
  --dpi-desync-retrans=0|1               ; (fake,rst,rstack only) 0(default)=reinject original data packet after fake  1=drop original data packet to force its retransmission
  --dpi-desync-repeats=<N>               ; send every desync packet N times
  --dpi-desync-skip-nosni=0|1		; 1(default)=do not apply desync to requests without hostname in the SNI
@@ -201,7 +201,12 @@ add tcp option **MD5 signature**. All of them have their own disadvantages :
   This way you cant hurt anything, but good chances it will help to open local ISP websites.
   If automatic solution cannot be found then use `zapret-hosts-user-exclude.txt`.
   Some router stock firmwares fix outgoing TTL. Without switching this option off TTL fooling will not work.
-
+* `hopbyhop` is ipv6 only. This fooling adds empty extension header `hop-by-hop options` or two headers in case of `hopbyhop2`.
+  Packets with two hop-by-hop headers violate RFC and discarded by all operating systems.
+  All OS accept packets with one hop-by-hop header.
+  Some ISPs/operators drop ipv6 packets with hop-by-hop options. Fakes will not be processed by the server either because
+  ISP drops them or because there are two same headers.
+  DPIs may still anaylize packets with one or two hop-by-hop headers.
 
 `--dpi-desync-fooling` takes multiple comma separated values.
 
@@ -234,6 +239,14 @@ Mode `split2` disables sending of fake segments. It can be used as a faster alte
 
 In `disorder2` and 'split2` modes no fake packets are sent, so ttl and fooling options are not required.
 
+`hopbyhop` desync mode (it's not the same as `hopbyhop` fooling !) is ipv6 only. One hop-by-hop header
+is added to all desynced packets.
+Extra header increases packet size and can't be applied to the maximum size packets.
+If it's not possible to send modified packet original one will be sent.
+The idea here is that DPI sees 0 in the next header field of the main ipv6 header and does not
+walk through the extension header chain until transport header is found.
+`hopbyhop` mode cannot be used with second phase modes.
+
 There are DPIs that analyze responses from the server, particularly the certificate from the ServerHello
 that contain domain name(s). The ClientHello delivery confirmation is an ACK packet from the server
 with ACK sequence number corresponding to the length of the ClientHello+1.

docs/readme.txt

@@ -1,4 +1,4 @@
-zapret v.44
+zapret v.45
 
 English
 -------
@@ -187,11 +187,11 @@ nfqws
  --hostnospace				; убрать пробел после "Host:" и переместить его в конец значения "User-Agent:" для сохранения длины пакета
  --hostspell=HoST			; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
  --domcase				; домен после Host: сделать таким : TeSt.cOm
- --dpi-desync=[<mode0>,]<mode>[,<mode2]	; атака по десинхронизации DPI. mode : synack fake rst rstack disorder disorder2 split split2 ipfrag2
+ --dpi-desync=[<mode0>,]<mode>[,<mode2]	; атака по десинхронизации DPI. mode : synack fake rst rstack hopbyhop disorder disorder2 split split2 ipfrag2
  --dpi-desync-fwmark=<int|0xHEX>        ; бит fwmark для пометки десинхронизирующих пакетов, чтобы они повторно не падали в очередь. default = 0x40000000
  --dpi-desync-ttl=<int>                 ; установить ttl для десинхронизирующих пакетов
  --dpi-desync-ttl6=<int>                ; установить ipv6 hop limit для десинхронизирующих пакетов. если не указано, используется значение ttl
- --dpi-desync-fooling=none|md5sig|ts|badseq|badsum ; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера
+ --dpi-desync-fooling=<fooling>		; дополнительные методики как сделать, чтобы фейковый пакет не дошел до сервера. none md5sig badseq badsum hopbyhop hopbyhop2
  --dpi-desync-retrans=0|1               ; (только для fake,rst,rstack) 0(default)=отправлять оригинал следом за фейком  1=дропать оригинал, заставляя ОС выполнять ретрансмиссию через 0.2 сек
  --dpi-desync-repeats=<N>               ; посылать каждый генерируемый в nfqws пакет N раз (не влияет на остальные пакеты)
  --dpi-desync-skip-nosni=0|1		; 1(default)=не применять dpi desync для запросов без hostname в SNI, в частности для ESNI
@@ -257,6 +257,11 @@ nfqws
   Некоторые стоковые прошивки роутеров фиксируют исходящий TTL, без отключения этой опции через них работать не будет.
   КАКИМ СТОИТ ВЫБИРАТЬ TTL : найдите минимальное значение, при котором обход еще работает.
   Это и будет номер хопа вашего DPI.
+* hopbyhop относится только к ipv6. Добавляется ipv6 extenstion header "hop-by-hop options".
+  В варианте hopbyhop2 добавляются 2 хедера, что является нарушением стандарта и гарантированно отбрасывается
+  стеком протоколов во всех ОС. Один хедер hop-by-hop принимается всеми ОС, однако на некоторых каналах/провайдерах
+  такие пакеты могут фильтроваться и не доходить. Расчет идет на то, что DPI проанализирует пакет с hop-by-hop,
+  но он либо не дойдет до адресата всилу фильтров провайдера, либо будет отброшен сервером, потому что хедера два.
 
 Режимы дурения могут сочетаться в любых комбинациях. --dpi-desync-fooling берет множество значений через запятую.
 
@@ -288,6 +293,16 @@ nfqws
 
 disorder2 и split2 не предполагают отсылку фейк пакетов, поэтому опции ttl и fooling неактуальны.
 
+Режим десинхронизации hopbyhop (не путать с fooling !) относится только к ipv6 и заключается в добавлении
+хедера "hop-by-hop options" во все пакеты, попадающие под десинхронизацию.
+Здесь надо обязательно понимать, что добавление хедера увеличивает размер пакета, потому не может быть применен
+к пакетам максимального размера. Это имеет место при передачи больших сообщений.
+В случае невозможности отослать пакет дурение будет отменено, пакет будет выслан в оригинале.
+Расчет идет на то, что DPI увидит 0 в поле next header основного заголовка ipv6 и не будет скакать по
+extension хедерам в поисках транспортного хедера. Таким образом не поймет, что это tcp или udp, и пропустит пакет
+без анализа. Возможно, какие-то DPI на это купятся.
+hopbyhop исключает применение режимов 2-й фазы.
+
 Есть DPI, которые анализируют ответы от сервера, в частности сертификат из ServerHello, где прописаны домены.
 Подтверждением доставки ClientHello является ACK пакет от сервера с номером ACK sequence, соответствующим длине ClientHello+1.
 В варианте disorder обычно приходит сперва частичное подтверждение (SACK), потом полный ACK.