GoodbyeDPI — утилита для обхода пассивных и активных DPI под Windows

[betonys]

https://github.com/ValdikSS/GoodbyeDPI
Программа предназначена для обхода систем глубокого анализа трафика (Deep Packet Inspection) и получения доступа к заблокированным сайтам.
Работает с пассивными (подключенными с помощью оптического сплиттера или с зеркалированием трафика) и активными (подключенными последовательно) DPI.
Предназначена для Windows 7, 8, 8.1 и 10. Для запуска требуются права администратора.
Как использовать программу
Скачайте последнюю версию со страницы релизов и запустите.
Поддерживаются следующие параметры:

Код:

Usage: goodbyedpi.exe [OPTION...]

-p block passive DPI
-r replace Host with hoSt
-s remove space between host header and its value
-m mix Host header case (test.com -> tEsT.cOm)
-f [value] set HTTP fragmentation to value
-k [value] enable HTTP persistent (keep-alive) fragmentation and set it to value
-n do not wait for first segment ACK when -k is enabled
-e [value] set HTTPS fragmentation to value
-a additional space between Method and Request-URI (enables -s, may break sites)
-w try to find and parse HTTP traffic on all processed ports (not only on port 80)
--port [value] additional TCP port to perform fragmentation on (and HTTP tricks with -w)
--dns-addr [value] redirect UDP DNS requests to the supplied IP address (experimental)
--dns-port [value] redirect UDP DNS requests to the supplied port (53 by default)
--dns-verb print verbose DNS redirection messages
--blacklist [txtfile] perform HTTP tricks only to host names and subdomains from
supplied text file. This option can be supplied multiple times.

-1 -p -r -s -f 2 -k 2 -n -e 2 (most compatible mode, default)
-2 -p -r -s -f 2 -k 2 -n -e 40 (better speed for HTTPS yet still compatible)
-3 -p -r -s -e 40 (better speed for HTTP and HTTPS)
-4          -p -r -s (best speed)

При запуске программы без параметров активируются опции, направленные на максимальную совместимость с провайдерами в угоду скорости.
Чтобы понять, можно ли вообще обойти DPI вашего провайдера программой, запустите скрипт "3_all_dnsredir_hardcore.cmd", и попробуйте зайти на заблокированные сайты. Если заблокированные сайты стали открываться, попробуйте запустить "1_russia_blacklist.cmd". Если этот файл не работает, используйте "1_russia_blacklist_dnsredir.cmd".
Некоторые провайдеры, например, Мегафон и Yota, не пропускают фрагментированные пакеты по HTTP, и сайты перестают открываться вообще. С такими провайдерами используйте опцию -3 -a
Как работает программа
Большинство пассивных DPI отправляют HTTP-перенаправление (301 Redirect) при попытке зайти на заблокированный сайт. Поле IP Identification пакетов, отправляемых пассивным DPI, всегда равно 0x0000 или 0x0001 (актуально для провайдеров РФ). Такие пакеты и блокирует GoodbyeDPI.
Активные DPI перехитрить труднее. На данный момент поддерживаются следующие опции:

1. Фрагментация первых пакетов на TCP-уровне
2. Замена заголовка Host на hoSt
3. Удаление пробела между именем параметра Host и его значением
4. Добавление дополнительного пробела между методом HTTP (GET, POST, и т.д.) и URI
5. Изменение регистра значения заголовка Host

Эти методы не должны влиять на работоспособность веб-сайтов, т.к. они полностью соответствуют стандарту TCP и HTTP, но их достаточно для противодействия классификации трафика и обхода цензуры. Добавление дополнительного проблела может влиять на работоспособность веб-сайтов, хоть и полностью соответствует спецификации стандарта HTTP/1.1 (см. 19.3 Tolerant Applications).
Преимущества программы

1. Работает автономно, без обращения к какому-либо серверу
2. Работает на уровне системы, с браузерами, торрент-клиентами и любым другим ПО
3. Не требует настройки