Faking
Вкладка Faking содержит методы отправки ложных пакетов и модификации реальных пакетов для обмана DPI. Каждая секция - отдельный аккордеон в интерфейсе.
Подробнее о типах пэйлоадов и их генерации - в разделе Пэйлоады.
Фейковые SNI-пакеты
Отправляет пакеты с поддельным содержимым до настоящего ClientHello. DPI анализирует фейковый пакет, а настоящие данные проходят незамеченными. Фейковый пакет не доходит до сервера благодаря выбранной стратегии.
Стратегия фейка
Определяет, как фейковый пакет станет необрабатываемым для сервера:
| Стратегия | Механизм |
|---|---|
| TTL | Заниженный TTL - пакет истекает на промежуточном узле и не доходит до сервера |
| Random Sequence | Случайный TCP sequence number - сервер отбрасывает пакет с неожиданным seq |
| Past Sequence | Прошедший sequence number - сервер уже обработал этот seq, повторный игнорирует |
| TCP Check | Неверная контрольная сумма TCP - ядро сервера отбрасывает пакет до обработки |
| MD5 Sum | TCP MD5-опция - сервер без настроенного MD5 отбрасывает пакет |
| TCP Timestamp | Устаревший TCP timestamp - сервер отбрасывает пакет с timestamp в далёком прошлом |
Тип пэйлоада
Содержимое фейкового пакета. Подробное описание всех типов - в разделе Пэйлоады.
| Тип | Содержимое |
|---|---|
| Случайное | 1200 случайных байтов |
| Пресет: Google | TLS ClientHello от имени Google |
| Пресет: DuckDuckGo | TLS ClientHello от имени DuckDuckGo |
| Сгенерированный payload | Оптимизированный ClientHello из раздела Настройки → Пэйлоады |
| Все нули | 1200 нулевых байтов |
| Инвертированный оригинал | Побитовая инверсия реального TLS-пакета |
Если в списке нет доступных пэйлоадов - сначала сгенерируйте их в Настройки → Пэйлоады.
Параметры
| Параметр | Описание | Диапазон |
|---|---|---|
| TTL фейка | TTL для фейковых пакетов. Должен быть достаточным, чтобы пакет дошёл до DPI, но истёк до сервера | 1–64 |
| Смещение Sequence | Сдвиг TCP sequence number (для стратегий pastseq/randseq) | - |
| Уменьшение Timestamp | Величина уменьшения TCP timestamp (для стратегии timestamp, по умолчанию 600000) | - |
| Количество фейковых пакетов | Сколько фейковых пакетов отправить перед реальными данными | 1–20 |
Правильный TTL зависит от количества сетевых узлов между вами и провайдерским DPI. Дискавери подбирает TTL автоматически. При ручной настройке начните с 3 и корректируйте.
TLS-модификации фейковых пакетов
Если тип пэйлоада содержит TLS-структуру (не случайное и не нули), доступны дополнительные модификации фейкового ClientHello:
| Параметр | Описание |
|---|---|
| Рандомизация TLS Random | Заменяет 32-байтовое поле Random в фейковом ClientHello случайными байтами. Без этого DPI может заметить, что поле Random одинаковое в фейке и реальном пакете |
| Дублировать Session ID | Копирует Session ID из реального ClientHello в фейковый. DPI может отслеживать Session ID для связки пакетов |
Фейковые SYN-пакеты
Отправляет фейковые SYN-пакеты во время TCP-рукопожатия - до начала реального соединения. Запутывает DPI ещё до того, как соединение установлено.
Это агрессивная техника - фейковые SYN могут влиять на работу некоторых сетевых устройств.
| Параметр | Описание | Диапазон |
|---|---|---|
| SYN MD5 Signature | Отправить фейковый SYN с опцией TCP MD5 перед реальным рукопожатием | - |
| Длина payload | Размер данных в фейковом SYN. 0 = только заголовок, >0 = добавить фейковый TLS payload | 0–1200 |
| TTL | TTL для фейковых SYN-пакетов | 1–100 |
TCP Desync
Десинхронизация внедряет фейковые TCP управляющие пакеты (RST/FIN/ACK) с повреждёнными контрольными суммами и низким TTL. Эти пакеты путают DPI с отслеживанием состояния, но отбрасываются реальным сервером.
Режим Desync
| Режим | Что отправляет |
|---|---|
| RST | Фейковые RST-пакеты с неверными контрольными суммами - DPI считает соединение разорванным |
| FIN | Фейковые FIN-пакеты с прошлыми sequence numbers - DPI считает соединение завершённым |
| ACK | Фейковые ACK-пакеты со случайными будущими sequence/ack numbers - DPI теряет состояние |
| Combo | Последовательность RST + FIN + ACK |
| Full | Полная атака: фейковый SYN, перекрывающиеся RST, PSH и URG пакеты |
Параметры Desync
| Параметр | Описание | Диапазон |
|---|---|---|
| TTL Desync | Низкий TTL гарантирует истечение фейковых пакетов до сервера | 1–50 |
| Количество пакетов | Количество фейковых пакетов на одну атаку десинхронизации | 1–20 |
| Post-ClientHello RST | Отправить фейковый RST после ClientHello для удаления соединения из таблицы отслеживания DPI | - |
Манипуляция окном
Отправляет фейковые ACK-пакеты с изменёнными размерами TCP-окна перед реальным пакетом. Фейки используют низкий TTL - они истекают до сервера, но путают DPI на промежуточных узлах.
| Режим | Описание |
|---|---|
| Нулевое окно | Фейковые пакеты: сначала window=0, затем window=65535 |
| Случайное | 3–5 фейковых пакетов со случайными размерами окна из заданного списка |
| Осцилляция | Циклический перебор пользовательских значений окна |
| Эскалация | Постепенное увеличение: 0 → 100 → 500 → 1460 → 8192 → 32768 → 65535 |
При режимах Случайное и Осцилляция можно задать свой список значений окна (0–65535). Если список пуст - используются значения по умолчанию.
Обход входящих ответов (Incoming)
Манипулирует входящими ответами сервера. Используется для обхода DPI, который дросселирует (замедляет) соединения после получения определённого объёма данных (~15–20 КБ). b4 вбрасывает фейковые пакеты к серверу, которые DPI видит, но они не доходят до назначения.
Режим
| Режим | Описание |
|---|---|
| Фейковые пакеты | Внедрение повреждённых ACK-пакетов к серверу с низким TTL на каждый входящий пакет данных |
| Внедрение Reset | Внедрение фейковых RST-пакетов при достижении порога входящих байтов |
| Внедрение FIN | Внедрение фейковых FIN-пакетов при достижении порога |
| Desync Combo | Внедрение RST+FIN+ACK combo при достижении порога |
Стратегия повреждения
Определяет, как фейковый пакет станет необрабатываемым:
| Стратегия | Описание |
|---|---|
| Bad Checksum | Повреждение контрольной суммы TCP - пакеты отбрасываются ядром |
| Bad Sequence | Повреждение sequence number - пакеты игнорируются TCP-стеком |
| Bad ACK | Повреждение ACK number - пакеты игнорируются TCP-стеком |
| Random | Случайный выбор метода для каждого пакета |
| All | Все повреждения одновременно: bad seq + bad ack + bad checksum |
Параметры Incoming
| Параметр | Описание | Диапазон |
|---|---|---|
| TTL фейка | Низкий TTL гарантирует истечение фейков до сервера | 1–20 |
| Количество фейков | Количество фейковых пакетов на одну инжекцию | 1–10 |
| Порог мин. | Минимальный объём входящих данных для срабатывания (КБ) | 5–50 |
| Порог макс. | Максимальный порог - рандомизируется между мин. и макс. для каждого соединения | 5–50 |
В режиме Фейковые пакеты пороги не используются - фейки отправляются на каждый входящий пакет. Пороги работают только в режимах Reset, FIN и Desync Combo.
Мутация ClientHello
Изменение структуры TLS ClientHello настоящего пакета (не фейкового). Рандомизирует порядок расширений и добавляет шум - чтобы ClientHello не совпадал с известными DPI сигнатурами.
В отличие от остальных секций на этой вкладке, мутация модифицирует реальный ClientHello, который дойдёт до сервера. Если сайт перестал работать после включения мутации - отключите её.
Режим мутации
| Режим | Описание |
|---|---|
| GREASE Extensions | Вставить GREASE-расширения для обмана DPI |
| Padding | Добавить расширение padding до целевого размера |
| Fake Extensions | Вставить фейковые/неизвестные TLS-расширения |
| Fake SNIs | Добавить дополнительные фейковые записи SNI |
| Random | Рандомизировать порядок расширений и добавить шум |
| Advanced | Комбинация нескольких техник мутации с ручной настройкой |
Параметры по режимам
GREASE:
| Параметр | Описание | Диапазон |
|---|---|---|
| Количество GREASE | Сколько GREASE-расширений вставить | 1–10 |
Padding:
| Параметр | Описание | Диапазон |
|---|---|---|
| Размер Padding | Целевой размер ClientHello с padding | 256–16384 байт |
Fake Extensions:
| Параметр | Описание | Диапазон |
|---|---|---|
| Количество Fake Extensions | Сколько фейковых TLS-расширений вставить | 1–15 |
Fake SNIs:
Добавляет дополнительные значения SNI в ClientHello. Введите домены (например, ya.ru, vk.com) - они будут внедрены в расширение SNI наряду с реальным доменом.
Advanced включает все параметры выше для ручной комбинации.