nfqws: allow hopbyhop with 2nd phase desync

2025-05-24 22:32:58 +03:00 · 2022-02-02 15:18:35 +03:00
parent f0a9246fd9
commit 707e86bd90
15 changed files with 98 additions and 21 deletions
--- a/docs/readme.eng.md
+++ b/docs/readme.eng.md
@@ -245,7 +245,9 @@ Extra header increases packet size and can't be applied to the maximum size pack
 If it's not possible to send modified packet original one will be sent.
 The idea here is that DPI sees 0 in the next header field of the main ipv6 header and does not
 walk through the extension header chain until transport header is found.
-`hopbyhop` mode cannot be used with second phase modes.
+`hopbyhop` mode can be used with any second phase mode.
+For example, `hopbyhop,split2` means split original tcp packet into 2 pieces and add hop-by-hop header to both.
+With `hopbyhop,ipfrag2` header sequence will be : `ipv6,hop-by-hop,fragment,tcp/udp`.

 There are DPIs that analyze responses from the server, particularly the certificate from the ServerHello
 that contain domain name(s). The ClientHello delivery confirmation is an ACK packet from the server
--- a/docs/readme.txt
+++ b/docs/readme.txt
@@ -301,7 +301,9 @@ disorder2 и split2 не предполагают отсылку фейк пак
 Расчет идет на то, что DPI увидит 0 в поле next header основного заголовка ipv6 и не будет скакать по
 extension хедерам в поисках транспортного хедера. Таким образом не поймет, что это tcp или udp, и пропустит пакет
 без анализа. Возможно, какие-то DPI на это купятся.
-hopbyhop исключает применение режимов 2-й фазы.
+Может сочетаться с любыми режимами 2-й фазы.
+Например, "hopbyhop,split2" означает разбить tcp пакет на 2 сегмента, в каждый из них добавить hop-by-hop.
+При "hopbyhop,ipfrag2" последовательность хедеров будет : ipv6,hop-by-hop,fragment,tcp/udp.

 Есть DPI, которые анализируют ответы от сервера, в частности сертификат из ServerHello, где прописаны домены.
 Подтверждением доставки ClientHello является ACK пакет от сервера с номером ACK sequence, соответствующим длине ClientHello+1.