nfqws: fakeknown, udplen desync modes

2024-11-26 20:20:53 +03:00 · 2022-04-12 15:54:57 +03:00 · 2022-04-12 15:54:57 +03:00 · cd60a05f86
commit cd60a05f86
parent ffda684a43
3 changed files with 23 additions and 8 deletions
--- a/docs/changes.txt
+++ b/docs/changes.txt
@ -222,3 +222,8 @@ nfqws: hop-by-hop ipv6 desync and fooling
 v46

 big startup script refactoring to support nftables and new openwrt snapshot builds with firewall4
+
+v47
+
+nfqws: QUIC initial decryption
+nfqws: udplen, fakeknown dpi desync modes
--- a/docs/readme.eng.md
+++ b/docs/readme.eng.md
@ -152,7 +152,7 @@ nfqws takes the following parameters:
 --pidfile=<filename>  			; write pid to file
 --user=<username>      		; drop root privs
 --uid=uid[:gid]			; drop root privs
- --dpi-desync=[<mode0,]<mode>[,<mode2>]	; desync dpi state. modes : synack fake rst rstack hopbyhop destopt ipfrag1 disorder disorder2 split split2 ipfrag2
+ --dpi-desync=[<mode0,]<mode>[,<mode2>]	; desync dpi state. modes : synack fake fakeknown rst rstack hopbyhop destopt ipfrag1 disorder disorder2 split split2 ipfrag2 udplen
 --dpi-desync-fwmark=<int|0xHEX>        ; override fwmark for desync packet. default = 0x40000000
 --dpi-desync-ttl=<int>                 ; set ttl for desync packet
 --dpi-desync-ttl6=<int>                ; set ipv6 hop limit for desync packet. by default ttl value is used
@ -183,8 +183,9 @@ WARNING. `--wsize` parameter is now not used anymore in scripts. TCP split can b

 After completion of the tcp 3-way handshake, the first data packet from the client goes.
 It usually has `GET / ...` or TLS ClientHello. We drop this packet, replacing with something else.
-It can be a fake version with another harmless but valid http or https request (fake), tcp reset packet (rst,rstack),
-split into 2 segments original packet with fake segment in the middle (disorder).
+It can be a fake version with another harmless but valid http or https request (`fake`), tcp reset packet (`rst`,`rstack`),
+split into 2 segments original packet with fake segment in the middle (`split`).
+`fakeknown` sends fake only in response to known application protocol.
 In articles these attack have names **TCB desynchronization** and **TCB teardown**.
 Fake packet must reach DPI, but do not reach the destination server.
 The following means are available: set a low TTL, send a packet with bad checksum,
@ -420,7 +421,11 @@ Set conntrack timeouts appropriately.

 UDP attacks are limited. Its not possible to fragment UDP on transport level, only on network (ip) level.
 Only desync modes `fake`,`hopbyhop`,`destopt`,`ipfrag1` and `ipfrag2` are applicable.
-`fake`,`hopbyhop`,`destopt` can be used in combo with `ipfrag2`.
+`fake`,`hopbyhop`,`destopt` can be used in combo with `ipfrag2` and `udplen`.
+
+`udplen` increases udp payload size by `--dpi-desync-udplen-increment` bytes. Padding is filled with zeroes.
+This option can resist DPIs that track outgoing UDP packet sizes.
+Requires that application protocol does not depend on udp payload size.

 QUIC initial packets are recognized. Decryption and hostname extraction is supported so `--hostlist` parameter will work.
 For other protocols desync use `--dpi-desync-any-protocol`.
--- a/docs/readme.txt
+++ b/docs/readme.txt
@ -1,4 +1,4 @@
-zapret v.46
+zapret v.47

 English
 -------
@ -200,7 +200,7 @@ nfqws
 --hostnospace				; убрать пробел после "Host:" и переместить его в конец значения "User-Agent:" для сохранения длины пакета
 --hostspell=HoST			; точное написание заголовка Host (можно "HOST" или "HoSt"). автоматом включает --hostcase
 --domcase				; домен после Host: сделать таким : TeSt.cOm
- --dpi-desync=[<mode0>,]<mode>[,<mode2]	; атака по десинхронизации DPI. mode : synack fake rst rstack hopbyhop destopt ipfrag1 disorder disorder2 split split2 ipfrag2
+ --dpi-desync=[<mode0>,]<mode>[,<mode2]	; атака по десинхронизации DPI. mode : synack fake fakeknown rst rstack hopbyhop destopt ipfrag1 disorder disorder2 split split2 ipfrag2 udplen
 --dpi-desync-fwmark=<int|0xHEX>        ; бит fwmark для пометки десинхронизирующих пакетов, чтобы они повторно не падали в очередь. default = 0x40000000
 --dpi-desync-ttl=<int>                 ; установить ttl для десинхронизирующих пакетов
 --dpi-desync-ttl6=<int>                ; установить ipv6 hop limit для десинхронизирующих пакетов. если не указано, используется значение ttl
@ -217,6 +217,7 @@ nfqws
 --dpi-desync-fake-unknown=<filename>	; файл, содержащий фейковый пейлоад неизвестного протокола для dpi-desync=fake, на замену стандартным нулям 256 байт
 --dpi-desync-fake-quic=<filename>      ; файл, содержащий фейковый QUIC Initial
 --dpi-desync-fake-unknown-udp=<filename> ; файл, содержащий фейковый пейлоад неизвестного udp протокола для dpi-desync=fake, на замену стандартным нулям 64 байт
+ --dpi-desync-udplen-increment=<int>    ; насколько увеличивать длину udp пейлоада в режиме udplen
 --dpi-desync-cutoff=[n|d|s]N           ; применять dpi desync только в исходящих пакетах (n), пакетах данных (d), относительных sequence (s) по номеру меньше N
 --hostlist=<filename>			; применять дурение только к хостам из листа

@ -232,6 +233,7 @@ nfqws
 пакет сброса соединения (варианты rst, rstack), разбитый на части оригинальный пакет с перепутанным
 порядком следования сегментов + обрамление первого сегмента фейками (disorder),
 то же самое без перепутывания порядка сегментов (split).
+fakeknown отличается от fake тем, что применяется только к распознанному протоколу.
 В литературе такие атаки еще называют TCB desynchronization и TCB teardown.
 Надо, чтобы фейковые пакеты дошли до DPI, но не дошли до сервера.
 На вооружении есть следующие возможности : установить низкий TTL, посылать пакет с инвалидной чексуммой,
@ -453,8 +455,11 @@ window size итоговый размер окна стал максимальн

 ПОДДЕРЖКА UDP
 Атаки на udp более ограничены в возможностях. udp нельзя фрагментировать иначе, чем на уровне ip.
-Для UDP действуют только режимы десинхронизации fake,hopbyhop,destopt,ipfrag1,ipfrag2.
-Возможно сочетание fake,hopbyhop,destopt с ipfrag2.
+Для UDP действуют только режимы десинхронизации fake,hopbyhop,destopt,ipfrag1,ipfrag2,udplen.
+Возможно сочетание fake,hopbyhop,destopt с ipfrag2 и udplen.
+udplen увеличивает размер udp пакета на указанное в --dpi-desync-udplen-increment количество байтов.
+Паддинг заполняется нулями. Предназначено для обмана DPI, ориентирующегося на размеры пакетов.
+Может сработать, если пользовательсткий протокол не привязан жестко к размеру udp пейлоада.
 Поддерживается определение пакетов QUIC Initial с расшифровкой содержимого и имени хоста, то есть параметр
 --hostlist будет работать. Для десинхронизации других протоколов обязательно указывать --dpi-desync-any-protocol.
 Реализован conntrack для udp. Можно пользоваться --dpi-desync-cutoff. Таймаут conntrack для udp