v72.3

zapret v72.3

данный релиз, вероятно, является заключительным, если не обнаружатся какие-то существенные баги, исправление которых стоит релиза
дальше будет развиваться только zapret2

• blockcheck: поддержка URI (rutracker.org => rutracker.org/forum/index.php)
• blockcheck: CURL_HTTPS_GET=1 - отказ от параметра -I (метод HEAD) при проверке https. предназначено для тестирования на длинных ответах сайта, чтобы проверить стратегию на не мгновенных блоках (16 кб)
• мелкие багфиксы

v72.2

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v72.2

• nfqws: отключение принудительного завершения wssize при приеме http или tls : --wssize-forced-cutoff=0
• nfqws: манипуляция tcp флагами : --[orig|dup|dpi-desync]-tcp-flags-[set|unset]
• nfqws: назначение режима установки поля ipv4 ip_id для дуплицированных пакетов : --dup-ip-id

v72.1

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v72.1

• nfqws: возможность задания режима назначения ipv4 ip_id индивидуально на каждом профиле (параметр --ip-id)
• init.d: кастом скрипт 50-quic4all для перехвата IETF QUIC initial на любых портах (аналог windivert_part.quic_initial_ietf.txt для windivert)
• blockcheck: возможность регулировать диапазоны дельты в тестах autottl : MIN_AUTOTTL_DELTA,MAX_AUTOTTL_DELTA

v72

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v72

• winws: частичные фильтры windivert --wf-raw-part
• nfqws: новый вариант tcp сегментации --dpi-desync=hostfakesplit
• nfqws: 2 варианта порядка следования сегментов hostfakesplit --dpi-desync-hostfakesplit-mod=altorder=0|1
• nfqws: больше фейков по умолчанию в fakedsplit. порядок сегментов регулируется --dpi-desync-fakedsplit-mod=altorder=N
• nfqws: fakedsplit pattern теперь может быть до 32 кб размером. он натягивается на все части многопакетного запроса, учитывая смещения пакетов в reasm группе и нормализованные сплит-позиции внутри каждого пакета
• nfqws: оптимизация ip_id в разных режимах tcp сегментации. универсализация для всех ОС.
• nfqws: отсылать множественные tcp фейки с увеличением sequence number на размеры предыдущих фейков (эмуляция отсыла длинного блока данных с множеством сегментов) : --dpi-desync-fake-tcp-mod=seq. относится к --dpi-desync=fake.
• nfqws: возможность указать смещение в файлах фейков или в дефолтном tls фейке : --dpi-desync-fake-xxx=[+offset]@filename , --dpi-desync-fake-tls=!+offset. tls фейк при этом проходит процедуру модификации, если она задана.
• blockcheck: новые стратегии
• blockcheck: показ PRETTY_NAME и OPENWRT_xxx из /etc/os-release
• blockcheck: симуляция случайных результатов curl тестов для теста логики скрипта : SIMULATE=1

v71.4

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.4

• nfqws,tpws: Исправление проблемы при загрузке хостлистов с повторяющимися доменами. Это могло приводить к повышенному расходу памяти или вылету процесса.
• init.d: custom скрипты 50-discord-media, 50-stun4all
• init.d: фильтры windivert для discord media, stun, wireguard
• readme: описание проблем с mediatek (особенности железок)

v71.3

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.3

• init.d: фильтрация подлежащего дурению трафика через mark bit, задаваемый в переменной FILTER_MARK
• nfqws: ts fooling. модификация tcp timestamp, чтобы сервер отбросил пакет.
• blockcheck: тесты ts fooling
• blockcheck: автоматическое включение tcp timestamps в windows, которые отключены по умолчанию
• tpws,nfqws: Специальная обработка хостов, являющимхся IP адресами, или содержащих номер порта. В случае IP нет поиска субдоменов в хостлистах. Порты с двоеточием отсекаются всегда.

v71.2

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.2

• nfqws: применять методы десинхронизации, кроме fake, ко всем пакетам многопакетного QUIC initial
• blockcheck: показ версии ядра и curl
• install_bin: если бинари не найдены, показать help text. собирать самому с исходников или качать релиз с github.
• winws: увеличены недостаточные буферы для конструкции фильтра --wf-tcp и --wf-udp. это приводило к ошибке после примерно 10+ портов в списке.
• tpws более не работает с /dev/pf в OpenBSD без опции --enable-pf. это нужно для миграции с rdr-to на divert-to, чтобы не сыпало ошибками ioctl(DIOCNATLOOK). обновлена документация по OpenBSD касаемо этого момента.
• install_easy: предупреждать, что --ipset нежелателен в случае перенаправления целого порта ради немногих IP. нужно использовать ipset в ядре.

v71.1.1

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.1.1

• nfqws: workaround бага в ядрах 5.19+, из-за которого nl80211 не возвращает SSID. Использование wireless ext как резервный вариант.

v71.1

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71.1

• nfqws,tpws: многократное ускорение --ipset за счет изменения алгоритма хранения списка
• nfqws,tpws: проверка доступности листов под сброшенными привилегиями в режиме --dry-run
• nfqws,tpws: в версиях, собранных под NDK, поддержка лога android (logcat) : --debug=android
• nfqws,tpws: использование initgroups вместо setgroups, если указан параметр --user. исправляет проблему на macos и openbsd, когда групп больше 16.
• nfqws: фильтрация по имени wifi сети (SSID) в Linux : --filter-ssid
• install_easy: останов, если зафиксирована попытка использовать embedded релиз на традиционной Linux системе или MacOS
• install_bin: проверка ELF сигнатуры для поиска бинариков нужной архитектуры
• binaries: переименованы и унифицированы имена директорий в binaries

v71

ПРЕДУПРЕЖДЕНИЕ : ВОЗМОЖНА ЭВРИСТИЧЕСКАЯ РЕАКЦИЯ АНТИВИРУСОВ НА UPX И WINDIVERT. WINDIVERT - хакерский инструмент, потенциально нежелательное ПО, потенциально часть вируса, но сам по себе - не вирус. UPX - не троян, а компрессор исполняемых файлов. Вирусов и майнеров здесь нет.

zapret v71

• nfqws,tpws: вывод в --debug логе информации о TLS ClientHello : version, alpn, ech
• nfqws: --dpi-desync-fake-tls=! означает фейк по умолчанию
• nfqws: модификация оригинальных пакетов --orig*
• nfqws: дупликация оригинальных пакетов --dup*
• nfqws: система ipcache для кэширования количества хопов до сервера и имен хостов по IP адресу. делает возможным применение --orig-autottl и --dup-autottl с первого пакета и фильтрацию по хостлистам на стратегиях нулевой фазы (со 2 раза, экспериментальная функция).
• tpws: аналогичная система ipcache, но работает только на имена хостов. полезна для --mss
• nfqws: отключение conntrack --ctrack-disable
• nfqws: дурение со стороны сервера через tcp split handshake : --synack-split
• nfqws: пересмотр механизма autottl на поддержку положительной, отрицательной и нулевой дельты. положительная дельта требует явного знака "+" перед delta. --autottl=- или --autottl=0:0-0 отключает autottl. значение '0' больше его не отключает, тк поддерживается delta=0.
• nfqws,tpws: увеличение максимального количества repeats и dups до 1024. ПОЛЬЗУЙТЕСЬ С УМОМ, НЕ СОЗДАВАЙТЕ ФЛУД.
• nfqws,tpws: при применении --daemon делаем максимум до демонизации, чтобы успеть вывести максимум сообщений об ошибках на терминал. попутно решает проблему "bad system call" с apatch на android.
• nfqws,tpws: указание множества gid через запятую в параметре --gid. применение всех supplimentary groups при использовании параметра --user.
• nfqws,tpws: вывод слова "android" в версии, если собрано под NDK
• init.d: отказ от запрета параметра --ipset в linux. Пользуйтесь для задания частных специализаций по IP адресам, когда по остальным IP на тех же портах идет другая работа. Использование "для простоты", когда перехватывается весь трафик, чтобы nfqws/tpws выделили лишь определенные IP, является крайне неэффективным. Пишите custom скрипты и используйте kernel ipsets !
• init.d, blockcheck: дроп icmp time exceeded по соединениям, затрагиваемым zapret
• blockcheck: дополнительные стратегии с --dup
• blockcheck: дополнительные параметры в начале стратегии через переменные PKTWS_EXTRA_PRE. PKTWS_EXTRA добавляют параметры в конец стратегии.
• blockcheck: вывод тест функции и имени домена в каждом тесте