Skip to content

Releases: bol-van/zapret

v72.3

27 Nov 13:02

Choose a tag to compare

zapret v72.3

данный релиз, вероятно, является заключительным, если не обнаружатся какие-то существенные баги, исправление которых стоит релиза
дальше будет развиваться только zapret2

  • blockcheck: поддержка URI (rutracker.org => rutracker.org/forum/index.php)
  • blockcheck: CURL_HTTPS_GET=1 - отказ от параметра -I (метод HEAD) при проверке https. предназначено для тестирования на длинных ответах сайта, чтобы проверить стратегию на не мгновенных блоках (16 кб)
  • мелкие багфиксы

v72.2

19 Oct 08:06

Choose a tag to compare

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v72.2

  • nfqws: отключение принудительного завершения wssize при приеме http или tls : --wssize-forced-cutoff=0
  • nfqws: манипуляция tcp флагами : --[orig|dup|dpi-desync]-tcp-flags-[set|unset]
  • nfqws: назначение режима установки поля ipv4 ip_id для дуплицированных пакетов : --dup-ip-id

v72.1

13 Oct 14:09

Choose a tag to compare

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v72.1

  • nfqws: возможность задания режима назначения ipv4 ip_id индивидуально на каждом профиле (параметр --ip-id)
  • init.d: кастом скрипт 50-quic4all для перехвата IETF QUIC initial на любых портах (аналог windivert_part.quic_initial_ietf.txt для windivert)
  • blockcheck: возможность регулировать диапазоны дельты в тестах autottl : MIN_AUTOTTL_DELTA,MAX_AUTOTTL_DELTA

v72

12 Oct 11:44

Choose a tag to compare

v72

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v72

  • winws: частичные фильтры windivert --wf-raw-part
  • nfqws: новый вариант tcp сегментации --dpi-desync=hostfakesplit
  • nfqws: 2 варианта порядка следования сегментов hostfakesplit --dpi-desync-hostfakesplit-mod=altorder=0|1
  • nfqws: больше фейков по умолчанию в fakedsplit. порядок сегментов регулируется --dpi-desync-fakedsplit-mod=altorder=N
  • nfqws: fakedsplit pattern теперь может быть до 32 кб размером. он натягивается на все части многопакетного запроса, учитывая смещения пакетов в reasm группе и нормализованные сплит-позиции внутри каждого пакета
  • nfqws: оптимизация ip_id в разных режимах tcp сегментации. универсализация для всех ОС.
  • nfqws: отсылать множественные tcp фейки с увеличением sequence number на размеры предыдущих фейков (эмуляция отсыла длинного блока данных с множеством сегментов) : --dpi-desync-fake-tcp-mod=seq. относится к --dpi-desync=fake.
  • nfqws: возможность указать смещение в файлах фейков или в дефолтном tls фейке : --dpi-desync-fake-xxx=[+offset]@filename , --dpi-desync-fake-tls=!+offset. tls фейк при этом проходит процедуру модификации, если она задана.
  • blockcheck: новые стратегии
  • blockcheck: показ PRETTY_NAME и OPENWRT_xxx из /etc/os-release
  • blockcheck: симуляция случайных результатов curl тестов для теста логики скрипта : SIMULATE=1

v71.4

22 Aug 16:05

Choose a tag to compare

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.4

  • nfqws,tpws: Исправление проблемы при загрузке хостлистов с повторяющимися доменами. Это могло приводить к повышенному расходу памяти или вылету процесса.
  • init.d: custom скрипты 50-discord-media, 50-stun4all
  • init.d: фильтры windivert для discord media, stun, wireguard
  • readme: описание проблем с mediatek (особенности железок)

v71.3

01 Aug 10:40

Choose a tag to compare

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.3

  • init.d: фильтрация подлежащего дурению трафика через mark bit, задаваемый в переменной FILTER_MARK
  • nfqws: ts fooling. модификация tcp timestamp, чтобы сервер отбросил пакет.
  • blockcheck: тесты ts fooling
  • blockcheck: автоматическое включение tcp timestamps в windows, которые отключены по умолчанию
  • tpws,nfqws: Специальная обработка хостов, являющимхся IP адресами, или содержащих номер порта. В случае IP нет поиска субдоменов в хостлистах. Порты с двоеточием отсекаются всегда.

v71.2

08 Jul 07:09

Choose a tag to compare

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.2

  • nfqws: применять методы десинхронизации, кроме fake, ко всем пакетам многопакетного QUIC initial
  • blockcheck: показ версии ядра и curl
  • install_bin: если бинари не найдены, показать help text. собирать самому с исходников или качать релиз с github.
  • winws: увеличены недостаточные буферы для конструкции фильтра --wf-tcp и --wf-udp. это приводило к ошибке после примерно 10+ портов в списке.
  • tpws более не работает с /dev/pf в OpenBSD без опции --enable-pf. это нужно для миграции с rdr-to на divert-to, чтобы не сыпало ошибками ioctl(DIOCNATLOOK). обновлена документация по OpenBSD касаемо этого момента.
  • install_easy: предупреждать, что --ipset нежелателен в случае перенаправления целого порта ради немногих IP. нужно использовать ipset в ядре.

v71.1.1

13 Jun 08:53

Choose a tag to compare

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.1.1

  • nfqws: workaround бага в ядрах 5.19+, из-за которого nl80211 не возвращает SSID. Использование wireless ext как резервный вариант.

v71.1

12 Jun 06:17

Choose a tag to compare

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.1

  • nfqws,tpws: многократное ускорение --ipset за счет изменения алгоритма хранения списка
  • nfqws,tpws: проверка доступности листов под сброшенными привилегиями в режиме --dry-run
  • nfqws,tpws: в версиях, собранных под NDK, поддержка лога android (logcat) : --debug=android
  • nfqws,tpws: использование initgroups вместо setgroups, если указан параметр --user. исправляет проблему на macos и openbsd, когда групп больше 16.
  • nfqws: фильтрация по имени wifi сети (SSID) в Linux : --filter-ssid
  • install_easy: останов, если зафиксирована попытка использовать embedded релиз на традиционной Linux системе или MacOS
  • install_bin: проверка ELF сигнатуры для поиска бинариков нужной архитектуры
  • binaries: переименованы и унифицированы имена директорий в binaries

v71

24 May 07:09

Choose a tag to compare

v71

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71

  • nfqws,tpws: вывод в --debug логе информации о TLS ClientHello : version, alpn, ech
  • nfqws: --dpi-desync-fake-tls=! означает фейк по умолчанию
  • nfqws: модификация оригинальных пакетов --orig*
  • nfqws: дупликация оригинальных пакетов --dup*
  • nfqws: система ipcache для кэширования количества хопов до сервера и имен хостов по IP адресу. делает возможным применение --orig-autottl и --dup-autottl с первого пакета и фильтрацию по хостлистам на стратегиях нулевой фазы (со 2 раза, экспериментальная функция).
  • tpws: аналогичная система ipcache, но работает только на имена хостов. полезна для --mss
  • nfqws: отключение conntrack --ctrack-disable
  • nfqws: дурение со стороны сервера через tcp split handshake : --synack-split
  • nfqws: пересмотр механизма autottl на поддержку положительной, отрицательной и нулевой дельты. положительная дельта требует явного знака "+" перед delta. --autottl=- или --autottl=0:0-0 отключает autottl. значение '0' больше его не отключает, тк поддерживается delta=0.
  • nfqws,tpws: увеличение максимального количества repeats и dups до 1024. ПОЛЬЗУЙТЕСЬ С УМОМ, НЕ СОЗДАВАЙТЕ ФЛУД.
  • nfqws,tpws: при применении --daemon делаем максимум до демонизации, чтобы успеть вывести максимум сообщений об ошибках на терминал. попутно решает проблему "bad system call" с apatch на android.
  • nfqws,tpws: указание множества gid через запятую в параметре --gid. применение всех supplimentary groups при использовании параметра --user.
  • nfqws,tpws: вывод слова "android" в версии, если собрано под NDK
  • init.d: отказ от запрета параметра --ipset в linux. Пользуйтесь для задания частных специализаций по IP адресам, когда по остальным IP на тех же портах идет другая работа. Использование "для простоты", когда перехватывается весь трафик, чтобы nfqws/tpws выделили лишь определенные IP, является крайне неэффективным. Пишите custom скрипты и используйте kernel ipsets !
  • init.d, blockcheck: дроп icmp time exceeded по соединениям, затрагиваемым zapret
  • blockcheck: дополнительные стратегии с --dup
  • blockcheck: дополнительные параметры в начале стратегии через переменные PKTWS_EXTRA_PRE. PKTWS_EXTRA добавляют параметры в конец стратегии.
  • blockcheck: вывод тест функции и имени домена в каждом тесте