ByeDPI 0.17.3

ByeDPI — утилита для обхода DPI которая работает как локальный прокси и помогает применять набор методов десинхронизации сетевого трафика. Программа поднимает SOCKS-сервер и принимает подключения от приложений, после чего пересылает запросы дальше, изменяя порядок и форму отправки отдельных частей данных. Предусмотрен и режим прозрачного прокси при котором SOCKS работать не будет, этот вариант используют когда перенаправление трафика на прокси делается на уровне системы или маршрутизации.

Для запуска задаются адрес и порт прослушивания, есть ограничение на максимальное число клиентских подключений и настройка размера буфера для операций recv/send. Можно указать адрес к которому будут привязаны исходящие соединения, при задании IPv4-адреса запросы на IPv6 будут отклоняться. Опция --no-udp отключает проксирование UDP, а параметр --def-ttl задает TTL для исходящих соединений и может применяться как способ обойти выявление нестандартного или уменьшенного TTL. При желании можно запретить обращения по доменному имени, так как резолвинг выполняется синхронно и способен замедлять работу или даже замораживать её. В Linux и BSD поддреживается запуск в режиме демона и создание PID-файла. Для Linux также предусмотрено включение TCP Fast Open, при поддержке сервером первый пакет отправляется вместе с SYN.

Ключевые методы обхода задаются отдельными опциями. --split разбивает запрос по указанным позициям, позиция задается как offset с дополнительными параметрами повторов и пропуска, а также флагами смещения относительно SNI и Host. --disorder похож на split но отправляет части в обратном порядке, при этом для Linux описан механизм с TTL=1 и последующей ретрансляцией благодаря SACK, а для Windows указаны особенности ретрансмиссии из-за которых рекомендуют комбинировать disorder со split. Есть методы с внеканальными данными: --oob и --disoob отправляют часть запроса с флагом URG, фактически внеканальным становится один байт и его советуют размещать в области SNI.

Опция --fake подменяет данные в первой части запроса на поддельные: сначала отправляется фейковый фрагмент затем оригинальные части, а чтобы фейк прошел через DPI но не дошел до сервера используются TTL и TCP MD5 Signature. Отмечено что на Windows fake может работать нестабильно, и как практический прием приводится сочетание fake с disorder чтобы даже дошедший фейк был перезаписан полной ретрансмиссией. Для фейков доступны смещение начала данных, загрузка своих шаблонов фейковых пакетов, настройка OOB-байта, динамическая замена SNI с шаблонами символов и модификация формирования поддельного TLS: заполнение случайными данными отдельных полей или использование оригинального ClientHello как основы с ограничением максимального размера.

Для HTTP предусмотрены манипуляции заголовком Host: варианты смешивания регистра, изменения регистра значения и удаление пробела с заменой на таб. Для TLS есть --tlsrec: ClientHello можно разделить на несколько TLS-записей вставляя новый заголовок, из-за чего размер увеличивается на 5 байт, а точку разбиения предлагают размещать в середине SNI. Также есть --tlsminor для изменения третьего байта в TLS-записи и параметр генерации фейковых UDP-пакетов. Отдельная опция --drop-sack заставляет ядро игнорировать SACK, это может помочь когда сегменты содержат фейковые данные но добавляет задержку и ломает часть сценариев disorder.

Чтобы применять методы только когда это действительно нужно, предусмотрен автоматический режим --auto который группирует опции и включает их по триггерам. В качестве событий используются таймаут или сброс подключения после первого запроса, подозрительный HTTP-редирект с доменом Location отличным от исходного и ошибки на этапе TLS где после ClientHello не приходит корректный ServerHello. Для групп можно задать режим поведения кеша и сортировку по частоте срабатываний, есть время жизни кеша и выгрузка кеша, а также ограничения по доменам, IP/подсетям портам и протоколам, и выбор к каким запросам применять запутывание. В итоге ByeDPI — это локальный прокси-инструмент который сочетает настраиваемые техники split/disorder/oob/fake и работу с HTTP/TLS, а также автоматизацию через триггеры и ограничители, чтобы обход включался точечно и управляемо.