tpws: --mss

docs/readme.eng.md

@@ -591,6 +591,8 @@ tpws is transparent proxy.
  --unixeol                      ; replace 0D0A to 0A
  --tlsrec=sni                   ; make 2 TLS records. split at SNI. don't split if SNI is not present.
  --tlsrec-pos=<pos>             ; make 2 TLS records. split at specified pos
+ --mss=<int>                    ; set client MSS. forces server to split messages but significantly decreases speed !
+ --mss-pf=[~]port1[-port2]      ; MSS port filter. ~ means negation
  --tamper-start=[n]<pos>        ; start tampering only from specified outbound stream position. byte pos or block number ('n'). default is 0.
  --tamper-cutoff=[n]<pos>       ; do not tamper anymore after specified outbound stream position. byte pos or block number ('n'). default is unlimited.
  --daemon                       ; daemonize
@@ -664,6 +666,15 @@ This works fine in Linux and MacOS but unexpectedly in FreeBSD and OpenBSD
 but middleboxes such as CDNs and ddos guards - not always.
 Use of `--tlsrec` without filters is discouraged.
 
+`--mss` sets TCP_MAXSEG socket option. Client sets this value in MSS TCP option in the SYN packet.
+Server replies with it's own MSS in SYN,ACK packet. Usually servers lower their packet sizes but they still don't
+fit to supplied MSS. The greater MSS client sets the bigger server's packets will be.
+If it's enough to split TLS 1.2 ServerHello, it may fool DPI that checks certificate domain name.
+This scheme may significantly lower speed. Hostlist and TLS version filters are not possible.
+`--mss-pf` sets port filter for MSS. Use `mss-pf=443` to apply MSS only for https.
+Likely not required for TLS1.3. If TLS1.3 is negotiable then MSS make things only worse.
+Use only if nothing better is available. Works only in Linux, not BSD or MacOS.
+
 
 ## Ways to get a list of blocked IP
 

docs/readme.txt

@@ -672,6 +672,8 @@ tpws - это transparent proxy.
  --unixeol		; конвертировать 0D0A в 0A и использовать везде 0A
  --tlsrec=sni           ; разбивка TLS ClientHello на 2 TLS records. режем между 1 и 2 символами hostname в SNI. Если SNI нет - отмена.
  --tlsrec-pos=<pos>     ; разбивка TLS ClientHello на 2 TLS records. режем на указанной позиции, если длина слишком мелкая - на позиции 1.
+ --mss=<int>            ; установить MSS для клиента. может заставить сервер разбивать ответы, но существенно снижает скорость
+ --mss-pf=[~]port1[-port2] ; применять MSS только к портам назначения, подпадающим под фильтр. ~ означает инверсию
  --tamper-start=[n]<pos> ; начинать дурение только с указанной байтовой позиции или номера блока исходяшего потока (считается позиция начала принятого блока)
  --tamper-cutoff=[n]<pos> ; закончить дурение на указанной байтовой позиции или номере блока исходящего потока (считается позиция начала принятого блока)
  --hostlist=<filename>  ; действовать только над доменами, входящими в список из filename. поддомены автоматически учитываются.
@@ -790,6 +792,21 @@ tpws полностью работает на асинхронных сокет
 Работает только с TLS 1.3, поскольку там эта информация шифруется.
 Впрочем, сейчас сайтов, не поддерживающих TLS 1.3, осталось немного.
 
+--mss устанавливает опцию сокета TCP_MAXSEG. Клиент выдает это значение в tcp опциях SYN пакета.
+Сервер в ответ в SYN,ACK выдает свой MSS. На практике сервера обычно снижают размеры отсылаемых ими пакетов, но они
+все равно не вписываются в низкий MSS, указанный клиентом. Обычно чем больше указал клиент, тем больше
+шлет сервер. На TLS 1.2 если сервер разбил заброс так, чтобы домен из сертификата не попал в первый пакет,
+это может обмануть DPI, секущий ответ сервера.
+Схема может значительно снизить скорость и сработать не на всех сайтах. 
+Несовместимо с фильтром по hostlist. Невозможен фильтр по версии TLS.
+Взамен имеется фильтр по портам --mss-pf. --mss-pf=443 применяет дурение только к https.
+Применяя данную опцию к сайтам TLS1.3, если броузер тоже поддерживает TLS1.3, то вы делаете только хуже.
+Но нет способа автоматически узнать когда надо применять, когда нет, поскольку MSS идет только в
+3-way handshake еще до обмены данными, а версию TLS можно узнать только по ответу сервера, который
+может привести к реакции DPI.
+Использовать только когда нет ничего лучше или для отдельных ресурсов.
+Работает только на linux, не работает на BSD и MacOS.
+
 --skip-nodelay может быть полезен, чтобы привести MTU к MTU системы, на которой работает tpws.
 Это может быть полезно для скрытия факта использования VPN. Пониженный MTU - 1 из способов обнаружения
 подозрительного подключения. С tcp proxy ваши соединения неотличимы от тех, что сделал бы сам шлюз.