tpws --disorder

docs/readme.eng.md

@@ -529,6 +529,7 @@ tpws is transparent proxy.
  --split-http-req=method|host	; split http request at specified logical position.
  --split-pos=<numeric_offset>   ; split at specified pos. split-http-req takes precedence over split-pos for http reqs.
  --split-any-protocol		; split not only http and https
+ --disorder                     ; when splitting simulate sending second fragment first
  --hostcase                     ; change Host: => host:
  --hostspell                    ; exact spelling of "Host" header. must be 4 chars. default is "host"
  --hostdot                      ; add "." after Host: name
@@ -597,6 +598,12 @@ if tpws serves many clients it can cause trouble. also DoS attack is possible ag
 if remote resolving causes trouble configure clients to use local name resolution and use
 `--no-resolve` option on tpws side.
 
+`--disorder` is an additional flag to any split option.
+It tries to simulate `--disorder2` option of `nfqws` using standard socket API without the need of additional privileges.
+This works fine in Linux and MacOS but unexpectedly in FreeBSD and OpenBSD
+(system sends second fragment then the whole packet instead of the first fragment).
+
+
 ## Ways to get a list of blocked IP
 
 nftables can't work with ipsets. Native nf sets require lots of RAM to load large ip lists with subnets and intervals.

docs/readme.txt

@@ -574,6 +574,7 @@ tpws - это transparent proxy.
  --split-http-req=method|host	; способ разделения http запросов на сегменты : около метода (GET,POST) или около заголовка Host
  --split-pos=<offset>	; делить все посылы на сегменты в указанной позиции. единственная опция, работающая на не-http. при указании split-http-req он имеет преимущество на http.
  --split-any-protocol	; применять split-pos к любым пакетам. по умолчанию - только к http и TLS ClientHello
+ --disorder		; путем манипуляций с сокетом вынуждает отправлять первым второй сегмент разделенного запроса
  --hostcase             ; менять регистр заголовка "Host:". по умолчанию на "host:".
  --hostspell=HoST	; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
  --hostdot		; добавление точки после имени хоста : "Host: kinozal.tv."
@@ -672,6 +673,17 @@ tpws полностью работает на асинхронных сокет
 Если при этом критический размер padding около MTU, значит скорее всего DPI не выполняет реассемблинг пакетов, и лучше будет использовать обычные опции --split-…
 Если все же реассемблинг выполняется, то критический размер будет около размера буфера DPI. Он может быть 4K или 8K, возможны и другие значения.
 
+--disorder - это попытка симулировать режим disorder2 nfqws , используя особенности ОС по реализации stream сокетов.
+Однако, в отличие от nfqws, здесь не требуются повышенные привилегии.
+Реализовано это следующим образом. У сокета есть возможность выставить TTL. Все пакеты будут отправляться с ним.
+Перед отправкой первого сегмента ставим TTL=1. Пакет будет дропнут на первом же роутере, он не дойдет ни до DPI, ни до сервера.
+Затем возвращаем TTL в значение по умолчанию. ОС отсылает второй сегмент, и он уже доходит до сервера.
+Сервер возвращает SACK, потому что не получил первый кусок, и ОС его отправляет повторно, но здесь уже мы ничего не делаем.
+Этот режим работает как ожидается на Linux и MacOS. Однако, на FreeBSD и OpenBSD он работает не так хорошо.
+Ядро этих ОС отсылает ретрансмиссию в виде полного пакета. Потому выходит, что до сервера идет сначала второй кусок,
+а потом полный запрос без сплита. На него может отреагировать DPI штатным образом.
+--disorder является дополнительным флагом к любому сплиту. Сам по себе он не делает ничего.
+
 --skip-nodelay может быть полезен, чтобы привести MTU к MTU системы, на которой работает tpws.
 Это может быть полезно для скрытия факта использования VPN. Пониженный MTU - 1 из способов обнаружения
 подозрительного подключения. С tcp proxy ваши соединения неотличимы от тех, что сделал бы сам шлюз.