Комментарии
Интересно почему народ пытается обмануть DPI вместо того чтобы игнорировать фальшивые пакеты от цензоров.
Я говорю про поьзоватеьские программы которые пытаются скрыть трафик от DPI чтобы не прилетел от цензоров фальшивый TCP reset когда можно его просто игнорировать и продолжать общаться с блокируемым сервером коли пакеты от него всёравно не блокируются.
да в китае вроде блокируются, это днс там два раза приходит и если подождать можно получить норм ответ.
Судя по докладу блокируется фальшивым пакетом TCP reset который также может прилететь раньше или позже ответа от сервера.
вместо того чтобы игнорировать фальшивые пакеты от цензоров

а как собственно понять что это фальшивый пакет?

+
tools.ietf.org/html/rfc793
The principle reason for the three-way handshake is to prevent old duplicate connection initiations from causing confusion. To deal with
this, a special control message, reset, has been devised. If the
receiving TCP is in a non-synchronized state (i.e., SYN-SENT,
SYN-RECEIVED), it returns to LISTEN on receiving an acceptable reset.
If the TCP is in one of the synchronized states (ESTABLISHED,
FIN-WAIT-1, FIN-WAIT-2, CLOSE-WAIT, CLOSING, LAST-ACK, TIME-WAIT), it
aborts the connection and informs its user.

Если после него приходит другой пакет с данными то сервер не инициировал сбросс соединения и продолжает общение.
В докладе стрелочка только в одну сторону. Но если так и сервер уже успел ответить в первом пакете то reset не помешает.
Всё коммерческие решения шлют в обе стороны, значит плохо исследовали или умолчали. Не успевают они, кто сказал, что пакет вообще туда прошёл? Если блокировка по IP или DNS. Тогда в одну сторону, сервер и не узнает. Если работает фильтрация URL, тогда reset летит сразу за запросом, сервер ничего не успевает ответить, так как других пакетов не долетает.
Dpi тоже нужно обработать пакет и принять решение о блокировке. За это время сервер может ответить. Кроме пакета запроса серверу вроде ничего и не надо.
С DNS сложнее, там UDP. Но в целом можно включить режим аля «proxy» и отправлять после проверки.
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.