readme: more precise marker definition

makefiles: use lto
doc works
2024-11-26 12:10:53 +03:00 · 2024-11-21 15:44:18 +03:00 · 2024-11-21 15:25:19 +03:00 · 2024-11-21 10:47:11 +03:00 · 2024-11-21 10:44:52 +03:00 · 2024-11-21 10:02:32 +03:00
6 changed files with 14 additions and 34 deletions
--- a/docs/readme.md
+++ b/docs/readme.md
@ -325,9 +325,9 @@ dvtws, собираемый из тех же исходников (см. [док
 * **method** - начало метода HTTP ('GET', 'POST', 'HEAD', ...). Метод обычно всегда находится на позиции 0, но поддерживается и нахождение метода после дурение методом `--methodeol` от tpws. Тогда позиция может стать 1 или 2.
 * **host** - начало имени хоста в известном протоколе (http, TLS)
-* **endhost** - конец имени хоста
+* **endhost** - байт, следующий за последним байтом имени хоста
 * **sld** - начало домена 2 уровня в имени хоста
-* **endsld** - конец домена 2 уровня в имени хоста
+* **endsld** - байт, следующий за последним байтом домена 2 уровня в имени хоста
 * **midsld** - середина домена 2 уровня в имени хоста
 * **sniext** - начало поля данных SNI extension в TLS. Любой extension состоит из 2-байтовых полей type и length, за ними идет поле данных.
@ -381,7 +381,7 @@ Windows оставляет старые данные, поэтому disorder с
 ### СПЕЦИФИЧЕСКИЕ РЕЖИМЫ IPV6
-Режимы десинхронизации `hopbyhop`, `destopt` и `ipfrag1` (не путать с fooling !) относятся только к `ipv6` и заключается
+Режимы десинхронизации `hopbyhop`, `destopt` и `ipfrag1` (не путать с fooling !) относятся только к ipv6 и заключается
 в добавлении хедера `hop-by-hop options`, `destination options` или `fragment` во все пакеты, попадающие под десинхронизацию.
 Здесь надо обязательно понимать, что добавление хедера увеличивает размер пакета, потому не может быть применено
 к пакетам максимального размера. Это имеет место при передаче больших сообщений.
@ -398,7 +398,7 @@ extension хедерам в поисках транспортного хедер
 В параметре dpi-desync можно указать до 3 режимов через запятую.
-* 0 фаза - предполагает работу на этапе установления соединения : `synack`, `syndata` `--wsize`, `--wssize`. На эту фазу не действуют фильтры по [hostlist](((#множественные-стратегии))).
+* 0 фаза - предполагает работу на этапе установления соединения : `synack`, `syndata`, `--wsize`, `--wssize`. На эту фазу не действуют фильтры по [hostlist](#множественные-стратегии).
 * 1 фаза - отсылка чего-либо до оригинального пакета данных : `fake`, `rst`, `rstack`.
 * 2 фаза - отсылка в модифицированном виде оригинального пакета данных (например, `fakedsplit` или `ipfrag2`).
@ -424,29 +424,10 @@ DPI может отстать от потока, если ClientHello его у
 В документации по geneva это называется "TCB turnaround". Попытка ввести DPI в заблуждение относительно
 ролей клиента и сервера.
-!!! Поскольку режим нарушает работу NAT, техника может сработать только если между атакующим устройством
+
 Поскольку режим нарушает работу NAT, техника может сработать только если между атакующим устройством
 и DPI нет NAT. Атака не сработает через NAT роутер, но может сработать с него.
-Для реализации атаки в linux обязательно требуется отключить стандартное правило firewall,
+Для реализации атаки на проходящий трафик требуются nftables и схема [POSTNAT](#nftables-для-nfqws).
 дропающее инвалидные пакеты в цепочке OUTPUT. Например : `-A OUTPUT -m state --state INVALID -j DROP`
 В openwrt можно отключить drop INVALID в OUTPUT и FORWARD через опцию в /etc/config/firewall:
 ```
 config zone
 option name 'wan'
 .........
 option masq_allow_invalid '1'
 ```
 К сожалению, отключить только в OUTPUT таким образом нельзя. Но можно сделать иначе. Вписать в `/etc/firewall.user`:
 ```
 iptables -D zone_wan_output -m comment --comment '!fw3' -j zone_wan_dest_ACCEPT
 ip6tables -D zone_wan_output -m comment --comment '!fw3' -j zone_wan_dest_ACCEPT
 ```
 Лучше делать так, потому что отсутствие дропа INVALID в FORWARD может привести к нежелательным утечкам пакетов из LAN.
 Если не принять эти меры, отсылка SYN,ACK сегмента вызовет ошибку и операция будет прервана.
 Остальные режимы тоже не сработают. Если поймете, что вам synack не нужен, обязательно верните правило дропа INVALID.
 ### РЕЖИМ SYNDATA
@ -480,7 +461,7 @@ conntrack - простенький, он не писался с учетом в
 `--wssize` позволяет изменить с клиента размер tcp window для сервера, чтобы он послал следующие ответы разбитыми на части.
 Чтобы это подействовало на все серверные ОС, необходимо менять window size в каждом исходящем с клиента пакете до отсылки сообщения,
-ответ на который должен быть разбит (например, TLS ClientHello). Именно поэтому и необходим conntrack, чтобы
+ответ на которое должен быть разбит (например, TLS ClientHello). Именно поэтому и необходим conntrack, чтобы
 знать когда надо остановиться. Если не остановиться и все время устанавливать низкий wssize, скорость упадет катастрофически.
 В linux это может быть купировано через connbytes, но в BSD системах такой возможности нет.
 В случае http(s) останавливаемся сразу после отсылки первого http запроса или TLS ClientHello.
@ -521,7 +502,7 @@ nfqws поддерживает реассемблинг некоторых ви
 На текущий момент это TLS и QUIC ClientHello. Они бывает длинными, если в chrome включить пост-квантовую
 криптографию tls-kyber, и занимают как правило 2 или 3 пакета. kyber включен по умолчанию, начиная с chromium 124.
 chrome рандомизирует фингерпринт TLS. SNI может оказаться как в начале, так и в конце, то есть
-попасть любой пакет. stateful DPI обычно реассемблирует запрос целиком, и только потом
+попасть в любой пакет. stateful DPI обычно реассемблирует запрос целиком, и только потом
 принимает решение о блокировке.
 В случае получения TLS или QUIC пакета с частичным ClientHello начинается процесс сборки, а пакеты
 задерживаются и не отсылаются до ее окончания. По окончании сборки пакеты проходит через десинхронизацию
--- a/ip2net/Makefile
+++ b/ip2net/Makefile
@ -1,5 +1,5 @@
 CC ?= gcc
-CFLAGS += -std=gnu99 -Os
+CFLAGS += -std=gnu99 -Os -flto=auto
 CFLAGS_BSD = -Wno-address-of-packed-member
 CFLAGS_WIN = -static
 LIBS = 
--- a/nfq/BSDmakefile
+++ b/nfq/BSDmakefile
@ -1,5 +1,5 @@
 CC ?= cc
-CFLAGS += -std=gnu99 -s -Os -Wno-address-of-packed-member
+CFLAGS += -std=gnu99 -s -Os -Wno-address-of-packed-member -flto=auto
 LIBS = -lz
 SRC_FILES = *.c crypto/*.c
--- a/nfq/Makefile
+++ b/nfq/Makefile
@ -1,7 +1,6 @@
 CC ?= gcc
 CFLAGS += -std=gnu99 -Os
-CFLAGS_BSD = -Wno-address-of-packed-member
+CFLAGS_BSD = -Wno-address-of-packed-member -flto=auto
 CFLAGS_MAC = -mmacosx-version-min=10.8
 CFLAGS_CYGWIN = -Wno-address-of-packed-member -static
 LIBS_LINUX = -lnetfilter_queue -lnfnetlink -lz
 LIBS_BSD = -lz
--- a/tpws/BSDmakefile
+++ b/tpws/BSDmakefile
@ -1,5 +1,5 @@
 CC ?= cc
-CFLAGS += -std=gnu99 -s -Os
+CFLAGS += -std=gnu99 -s -Os -flto=auto
 LIBS = -lz -lpthread
 SRC_FILES = *.c
--- a/tpws/Makefile
+++ b/tpws/Makefile
@ -1,5 +1,5 @@
 CC ?= gcc
-CFLAGS += -std=gnu99 -Os
+CFLAGS += -std=gnu99 -Os -flto=auto
 CFLAGS_BSD = -Wno-address-of-packed-member
 LIBS = -lz -lpthread
 LIBS_ANDROID = -lz
Author	SHA1	Message	Date
bol-van	1b14a8210c	readme: more precise marker definition	2024-11-21 15:44:18 +03:00
bol-van	182fe850db	makefiles: use lto	2024-11-21 15:25:19 +03:00
bol-van	62b081e9fb	doc works	2024-11-21 10:47:11 +03:00
bol-van	e3e7449d74	doc works	2024-11-21 10:44:52 +03:00
bol-van	669f1978a3	doc works	2024-11-21 10:02:32 +03:00