zapret2-mcp 0.7.0 → 0.7.1

package/CHANGELOG.md

@@ -1,5 +1,12 @@
 # Changelog
 
+## [0.7.1](https://github.com/rcd27/zapret2-mcp/compare/v0.7.0...v0.7.1) (2026-03-28)
+
+
+### Features
+
+* **knowledge:** deep-wiki, как источник №1 ([5ed5d46](https://github.com/rcd27/zapret2-mcp/commit/5ed5d4637f2be2a5710f60bf8a54ab38eaaddb85))
+
 ## [0.7.0](https://github.com/rcd27/zapret2-mcp/compare/v0.6.1...v0.7.0) (2026-03-28)
 
 

package/README.md

@@ -2,24 +2,24 @@
 
 [![CI](https://github.com/rcd27/zapret2-mcp/actions/workflows/ci.yml/badge.svg)](https://github.com/rcd27/zapret2-mcp/actions/workflows/ci.yml)
 [![npm](https://img.shields.io/npm/v/zapret2-mcp)](https://www.npmjs.com/package/zapret2-mcp)
-[![Knowledge Base](https://img.shields.io/badge/knowledge_base-27_articles-green)](./knowledge/)
+[![Knowledge Base](https://img.shields.io/badge/knowledge_base-32_articles-green)](./knowledge/)
 [![License: MIT](https://img.shields.io/badge/License-MIT-blue.svg)](LICENSE)
 
 База знаний по [zapret2](https://github.com/bol-van/zapret2) (DPI bypass) и [blockcheckw](https://github.com/rcd27/blockcheckw) (сканер стратегий). Работает как [MCP-сервер](https://modelcontextprotocol.io/) для LLM-агентов и как обычная документация.
 
-> **Можно использовать без агентов.** [`knowledge/`](./knowledge/) — 27 статей на русском языке. Открывайте и читайте как обычную документацию, без установки чего-либо.
+> **Можно использовать без агентов.** [`knowledge/`](./knowledge/) — 32 статьи на русском языке. Открывайте и читайте как обычную документацию, без установки чего-либо.
 
 ## Что внутри
 
 | Раздел | Статей | Темы |
 |--------|--------|------|
-| [strategies/](./knowledge/strategies/) | 8 | TCP segmentation, fake packets, multidisorder, QUIC, circular, Discord, Telegram, orchestration |
-| [config/](./knowledge/config/) | 5 | nfqws2 CLI, zapret2 config, UCI, blobs, миграция v1 → v2 |
+| [strategies/](./knowledge/strategies/) | 9 | TCP segmentation, fake packets, Lua scripting, QUIC, circular, Discord, Telegram, orchestration |
+| [config/](./knowledge/config/) | 9 | nfqws2 CLI, zapret2 config, desync profiles, hostlists/ipsets, auto-hostlist, security hardening, UCI, blobs, миграция v1 → v2 |
 | [troubleshooting/](./knowledge/troubleshooting/) | 5 | Smart TV + YouTube, QUIC, IPv6, FLOWOFFLOAD, конфликты с Podkop |
 | [tspu/](./knowledge/tspu/) | 4 | Архитектура ТСПУ, DPI engine, методы блокировки, двухстадийная система |
 | [workflows/](./knowledge/workflows/) | 2 | Установка, поиск стратегии |
 | [blockcheckw/](./knowledge/blockcheckw/) | 2 | Overview, команды |
-| [platforms/](./knowledge/platforms/) | 1 | Поддерживаемые платформы |
+| [platforms/](./knowledge/platforms/) | 1 | Linux, OpenWrt, Windows, FreeBSD, OpenBSD, Android |
 
 ## Подключение к LLM-агенту
 
@@ -90,6 +90,7 @@ npm start
 
 ## Источники
 
+- [deepwiki/zapret2](https://deepwiki.com/bol-van/zapret2) — AI-сгенерированная документация из исходного кода (приоритетный источник)
 - [zapret2](https://github.com/bol-van/zapret2) — DPI bypass от bol-van
 - [blockcheckw](https://github.com/rcd27/blockcheckw) — быстрый сканер стратегий
 - [tspu-docs](https://github.com/DanielLavrushin/tspu-docs) — документация ТСПУ

package/knowledge/config/auto-hostlist.md

@@ -0,0 +1,109 @@
+---
+title: Auto-Hostlist and Failure Detection
+zapret2-version: v0.9.4.5
+tags: auto-hostlist, failure detection, retransmission, rst, redirect, autohostlist, blocking detection
+source: deepwiki/bol-van/zapret2, official-docs
+created: 2026-03-28
+updated: 2026-03-28
+---
+
+# Авто-хостлист и детекция отказов
+
+Автоматическое обнаружение заблокированных доменов по паттернам сбоев соединений. Домены, которые повторно не загружаются, автоматически добавляются в хостлист для применения DPI bypass.
+
+## Принцип работы
+
+1. Демон мониторит сетевые соединения на признаки DPI-блокировки
+2. При обнаружении сбоя увеличивает счётчик для данного домена
+3. При достижении порога — домен записывается в файл auto-hostlist
+4. С этого момента к домену применяется стратегия обхода
+
+## Механизмы детекции (C-side)
+
+Встроенная детекция активна когда у профиля настроен `hostlist_auto`:
+
+| Тип сбоя | Направление | Как определяется |
+|----------|-------------|-----------------|
+| TCP Retransmission | Исходящий | Sequence number ≤ ранее отслеженной позиции |
+| Incoming RST | Входящий | RST-флаг в пределах `hostlist_auto_incoming_maxseq` |
+| HTTP Redirect | Входящий | DPI-редирект (домен в Location не совпадает с оригиналом) |
+| UDP Timeout | Оба | Исходящих ≥ порога И входящих ≤ порога |
+
+### Детекция TCP-ретрансмиссий
+
+Функция `is_retransmission()` сравнивает sequence текущего пакета с отслеженной позицией (`ctrack->pos.client.tcp.uppos_prev`). Когда `req_retrans_counter` достигает `hostlist_auto_retrans_threshold` — вызывается `auto_hostlist_failed()`.
+
+Опционально: `hostlist_auto_retrans_reset` — отправка spoofed RST для сброса цикла ретрансмиссий.
+
+### Детекция HTTP-редиректов
+
+`is_dpi_redirect()` сравнивает домен из заголовка `Location` с оригинальным hostname. Если домены не совпадают — это DPI-редирект.
+
+## Lua-based детекция
+
+`standard_failure_detector` в `zapret-auto.lua` зеркалит C-логику со скриптовыми порогами:
+- RST-детекция: проверка TCP reset flag в диапазоне `inseq`
+- HTTP-редирект: через `is_dpi_redirect()`
+- UDP failure: порог исходящих при отсутствии входящих
+
+## Управление состоянием
+
+### Host Records (`hrec`)
+Постоянные счётчики и текущий индекс стратегии для каждого домена.
+
+### Connection Records (`crec`)
+Счётчики ретрансмиссий и защита от дубликатов для каждого соединения.
+
+### Failure Pool (`hostfail_pool`)
+In-memory linked list доменов, ожидающих добавления в хостлист. Каждая запись имеет expiration time для предотвращения застревания.
+
+### Сброс по таймауту
+
+`automate_failure_counter()` управляет инкрементом счётчиков с time-based reset. Если интервал между сбоями превышает `maxtime` — счётчик сбрасывается в ноль.
+
+## Процесс добавления в хостлист
+
+1. **Purge**: `HostFailPoolPurge()` — удаление просроченных записей
+2. **Find/Add**: поиск или создание записи в failure pool
+3. **Threshold**: `counter >= hostlist_auto_fail_threshold` → обработка
+4. **Duplicate check**: `HostlistCheck()` — домен не должен уже быть в активных хостлистах
+5. **Persist**: `append_to_list_file()` — запись домена в файл `--hostlist-auto`
+6. **In-memory update**: `HostlistPoolAddStrLen()` — немедленное обновление активного пула
+
+## Параметры конфигурации
+
+| Параметр CLI | Описание | По умолчанию |
+|-------------|----------|-------------|
+| `--hostlist-auto=<file>` | Путь к файлу auto-hostlist | — |
+| `--hostlist-auto-fail-threshold=<N>` | Количество сбоев для добавления | 3 |
+| `--hostlist-auto-fail-time=<sec>` | Временное окно для подсчёта сбоев | 60 |
+| `--hostlist-auto-retrans-threshold=<N>` | Порог TCP-ретрансмиссий | 3 |
+| `--hostlist-auto-retrans-reset` | Отправка RST для сброса ретрансмиссий | off |
+
+## Пример использования
+
+```
+--name=auto-detect --filter-tcp=443 --filter-l7=tls
+  --payload=tls_client_hello
+  --hostlist-auto=/opt/zapret2/ipset/auto-blocked.txt
+  --hostlist-auto-fail-threshold=3
+  --hostlist-auto-fail-time=60
+  --lua-desync=fake:blob=fake_default_tls:tcp_md5
+  --lua-desync=multisplit:pos=1,midsld
+```
+
+При таком конфиге:
+- Все TLS-соединения на порт 443 мониторятся на сбои
+- После 3 сбоев за 60 секунд домен добавляется в `auto-blocked.txt`
+- Стратегия `fake + multisplit` применяется к доменам из списка
+
+## Интеграция со стратегией ротации
+
+Auto-hostlist работает совместно с circular strategy (см. `orchestration.md`):
+- `circular` ротирует стратегии при сбоях
+- `standard_failure_detector` определяет сбои для ротации
+- Если все стратегии исчерпаны — домен считается полностью заблокированным
+
+## Флаг финализации
+
+`ctrack->failure_detect_finalized` предотвращает повторную детекцию после того, как исход соединения определён окончательно. Это оптимизация для долгоживущих потоков.

package/knowledge/config/desync-profiles.md

@@ -0,0 +1,118 @@
+---
+title: Desync Profile System
+zapret2-version: v0.9.4.5
+tags: profiles, desync, new, filter, matching, template, import, lua-desync, l7, l3, l4
+source: deepwiki/bol-van/zapret2, official-docs
+created: 2026-03-28
+updated: 2026-03-28
+---
+
+# Система desync-профилей
+
+Профиль — основная единица конфигурации zapret2. Каждый профиль инкапсулирует полную стратегию обхода DPI: правила фильтрации пакетов, целевые хостлисты/IP-диапазоны и цепочку Lua desync-функций.
+
+## Создание профилей
+
+Профили создаются через разделитель `--new`:
+
+```
+--name=youtube --filter-tcp=443 --filter-l7=tls
+  --payload=tls_client_hello
+  --hostlist-domains=youtube.com,googlevideo.com
+  --lua-desync=fake:blob=fake_default_tls:tcp_md5
+  --lua-desync=multisplit:pos=1,midsld
+--new
+--name=quic --filter-udp=443 --filter-l7=quic
+  --payload=quic_initial
+  --lua-desync=fake:blob=fake_default_quic:repeats=6
+```
+
+Каждый `--new` начинает новый профиль. Параметры до первого `--new` относятся к первому профилю.
+
+## Многоуровневая фильтрация
+
+Профиль содержит каскад фильтров. Пакет проверяется сверху вниз, первый совпавший профиль применяется:
+
+| Уровень | Фильтр | Пример |
+|---------|--------|--------|
+| L3 | IPv4/IPv6 | `--filter-ipv4`, `--filter-ipv6` |
+| L4 | Протокол и порты | `--filter-tcp=443`, `--filter-udp=443` |
+| L7 | Прикладной протокол | `--filter-l7=tls,quic,http,mtproto` |
+| IPset | IP-диапазоны | `--ipset=/path/to/ips.txt` |
+| Hostlist | Домены (SNI/Host) | `--hostlist=/path/to/hosts.txt` |
+
+### Порядок сопоставления (matching)
+
+1. L3 → L4 → L7 → IPset → Hostlist
+2. **Первый совпавший профиль возвращается**
+3. Если у профиля есть hostlist но hostname ещё неизвестен — сопоставление откладывается до парсинга L7
+4. Профиль с `hostlist_auto` и известным hostname совпадает немедленно
+5. Профиль без hostlist совпадает сразу после прохождения L3/L4/L7/IPset
+
+### Кеширование профиля
+
+После выбора профиль кешируется в connection tracking (`ctrack->dp`). Кеш сбрасывается при:
+- Обнаружении L7-протокола (первый TLS ClientHello)
+- Извлечении hostname (из SNI или HTTP Host)
+
+Это запускает повторный поиск профиля с более специфичными критериями.
+
+## Шаблоны и наследование
+
+Шаблоны определяются через `--template` и хранятся отдельно от активных профилей:
+
+```
+--template --name=base-tls --filter-tcp=443 --filter-l7=tls --payload=tls_client_hello
+--new
+--import=base-tls --hostlist=/path/youtube.txt --lua-desync=multisplit:pos=1,midsld
+--new
+--import=base-tls --hostlist=/path/discord.txt --lua-desync=fake:blob=fake_default_tls:tcp_md5
+```
+
+`--import` копирует конфигурацию из шаблона через `dp_copy()`. Копируются **только явно установленные** значения (используются boolean-флаги `b_filter_l3`, `b_filter_l7` и т.д.).
+
+## Цепочка Lua desync-функций
+
+Поле `lua_desync` — связный список инстансов функций. Каждый инстанс:
+- Содержит свои аргументы и параметры
+- Может иметь payload-фильтр, ограничивающий выполнение
+- Возвращает вердикт: `VERDICT_PASS`, `VERDICT_MODIFY`, `VERDICT_DROP`
+
+Инстансы выполняются последовательно. Вердикты агрегируются: **DROP > MODIFY > PASS**.
+
+```
+# Два инстанса в одном профиле: сначала fake, потом split
+--lua-desync=fake:blob=fake_default_tls:tcp_md5
+--lua-desync=multisplit:pos=1,midsld
+```
+
+## Именование профилей
+
+`--name=` и `--cookie=` — опциональные идентификаторы для отладки и логирования. Имена помогают в диагностике:
+
+```
+--name=youtube --filter-tcp=443 --filter-l7=tls
+  --hostlist-domains=youtube.com
+  --lua-desync=multisplit:pos=10:seqovl=1
+```
+
+## Типичные паттерны
+
+### Разные стратегии для разных сервисов
+
+```
+--name=youtube --filter-tcp=443 --filter-l7=tls --payload=tls_client_hello
+  --hostlist=/opt/zapret2/ipset/youtube.txt
+  --lua-desync=fake:blob=fake_default_tls:tcp_md5:repeats=11
+  --lua-desync=multidisorder:pos=1,midsld
+--new
+--name=discord --filter-udp=50000-50100 --filter-l7=quic
+  --lua-desync=fake:blob=fake_default_quic:repeats=6
+--new
+--name=other --filter-tcp=443 --filter-l7=tls --payload=tls_client_hello
+  --lua-desync=multisplit:pos=2
+```
+
+### Fallback-профиль
+
+Последний профиль без hostlist/ipset работает как catch-all для всего остального трафика.

package/knowledge/config/hostlists-ipsets.md

@@ -0,0 +1,139 @@
+---
+title: Hostlists and IPsets
+zapret2-version: v0.9.4.5
+tags: hostlist, ipset, filtering, domains, ip, include, exclude, gzip, auto-reload, sighup
+source: deepwiki/bol-van/zapret2, official-docs
+created: 2026-03-28
+updated: 2026-03-28
+---
+
+# Хостлисты и IP-множества (IPsets)
+
+Файловые механизмы фильтрации для избирательного применения стратегий обхода DPI. Каждый desync-профиль может ссылаться на несколько хостлистов и ipset-ов для включения (apply) и исключения (exclude).
+
+## Хостлисты
+
+### Формат файла
+
+Один домен на строку. Поддерживаются plain text и gzip (`.gz`).
+
+```
+# Комментарий (также ; и / в начале строки)
+example.com          # совпадает с example.com и *.example.com
+^example.com         # строгое совпадение: ТОЛЬКО example.com, не субдомены
+youtube.com
+googlevideo.com
+```
+
+- Регистр не важен — все домены приводятся к lowercase при загрузке
+- Пробелы и табы в конце строки обрезаются
+
+### Логика поиска (matching)
+
+**Обычная запись** (`example.com`):
+- Рекурсивный поиск по субдоменам: `sub.example.com` → `example.com` → `com`
+- Совпадает, если домен или любой родительский домен есть в списке
+
+**Строгая запись** (`^example.com`):
+- Помечается флагом `HOSTLIST_POOL_FLAG_STRICT_MATCH`
+- Совпадает ТОЛЬКО при полном совпадении домена, без рекурсии по субдоменам
+
+### CLI-параметры
+
+```
+--hostlist=/path/to/include.txt          # список включения
+--hostlist-exclude=/path/to/exclude.txt  # список исключения
+--hostlist-domains=a.com,b.com           # inline-домены (без файла)
+--hostlist-auto=/path/to/auto.txt        # авто-хостлист (см. auto-hostlist.md)
+```
+
+## IPsets
+
+### Формат файла
+
+IP-адреса и CIDR-подсети, один на строку. IPv4 и IPv6. Поддерживается gzip.
+
+```
+# Комментарий
+1.2.3.4
+10.0.0.0/8
+2001:db8::1
+fd00::/32
+```
+
+### CLI-параметры
+
+```
+--ipset=/path/to/include-ips.txt          # список включения
+--ipset-exclude=/path/to/exclude-ips.txt  # список исключения
+```
+
+### Внутреннее устройство
+
+IPset хранит IPv4 и IPv6 пулы отдельно в radix/binary tree для эффективного поиска O(log n).
+
+## Логика include/exclude
+
+Порядок проверки детерминирован:
+
+1. **Exclude проверяется первым** — если хост/IP в exclude-списке, пакет отклоняется
+2. **Include проверяется вторым** — если include-коллекция пуста, пакет проходит (обратная совместимость)
+3. Если include непуста — пакет должен совпасть хотя бы с одним include-списком
+
+Эта логика одинакова для hostlists и ipsets.
+
+## Gzip-поддержка
+
+Прозрачная декомпрессия:
+- Magic header `1F 8B` определяет gzip-файл
+- `z_readfile()` декомпрессирует через `zlib` в буфер в памяти
+- Декомпрессированный контент парсится построчно идентично plain text
+- Полезно для больших списков (экономия места на роутерах)
+
+## Авто-перезагрузка (hot reload)
+
+Хостлисты и ipset-ы перезагружаются без перезапуска демона:
+
+### Автоматическая детекция изменений
+- `file_mod_signature()` проверяет mtime и размер файла через `stat()`
+- Проверка происходит при обработке пакетов
+- При изменении — файл перезагружается в память
+
+### Ручная перезагрузка
+```bash
+# Отправить SIGHUP для немедленной перезагрузки всех списков
+kill -HUP $(pidof nfqws2)
+```
+
+## Скрипты управления списками
+
+Директория `ipset/` содержит утилиты для обновления списков из внешних источников:
+
+| Скрипт | Назначение |
+|--------|-----------|
+| `def.sh` | Общие утилиты: `zzcat` (прозрачная gzip/plain декомпрессия), `digger` (DNS-резолвинг) |
+| `get_reestr_preresolved.sh` | Загрузка пре-резолвленных IP-списков |
+| `get_antifilter_ipsmart.sh` | Загрузка smart IP-списков |
+| `hup_zapret_daemons()` | Отправка SIGHUP для немедленной перезагрузки |
+
+## Типичные паттерны
+
+### Разные списки для разных профилей
+
+```
+--name=youtube --filter-tcp=443 --filter-l7=tls
+  --hostlist=/opt/zapret2/ipset/youtube.txt
+  --lua-desync=fake:blob=fake_default_tls:tcp_md5
+--new
+--name=general --filter-tcp=443 --filter-l7=tls
+  --hostlist=/opt/zapret2/ipset/general-blocked.txt
+  --hostlist-exclude=/opt/zapret2/ipset/whitelist.txt
+  --lua-desync=multisplit:pos=2
+```
+
+### Автообновление списков по cron
+
+```bash
+# /etc/cron.d/zapret-update
+0 3 * * * root /opt/zapret2/ipset/get_antifilter_ipsmart.sh && kill -HUP $(pidof nfqws2)
+```

package/knowledge/config/migration-v1-to-v2.md

@@ -1,7 +1,7 @@
 ---
 title: Миграция стратегий zapret v1 → zapret2 (lua-desync)
 zapret2-version: v0.9.4.5
-tags: migration, v1, v2, lua-desync, dpi-desync, config, conversion
+tags: migration, v1, v2, lua-desync, dpi-desync, config, conversion, profiles, lua
 source: community
 created: 2026-03-28
 updated: 2026-03-28

package/knowledge/config/security-hardening.md

@@ -0,0 +1,110 @@
+---
+title: Security Hardening
+zapret2-version: v0.9.4.5
+tags: security, seccomp, capabilities, privilege, droproot, sandbox, hardening, cap_net_admin, daemonize
+source: deepwiki/bol-van/zapret2, official-docs
+created: 2026-03-28
+updated: 2026-03-28
+---
+
+# Security Hardening
+
+zapret2 реализует многоуровневую защиту (defense-in-depth) для минимизации поверхности атаки. Все защитные механизмы активируются при инициализации демона, до входа в основной цикл обработки пакетов.
+
+## Seccomp (Linux)
+
+BPF-фильтр блокирует опасные системные вызовы на уровне ядра:
+
+| Категория | Заблокированные syscall-ы |
+|-----------|--------------------------|
+| Выполнение | `execve`, `execveat` |
+| Файловая система | `chmod`, `fchmod`, `chown`, `fchown` |
+| Структура каталогов | `symlink`, `link`, `mkdir`, `rmdir` |
+| Манипуляция процессами | `ptrace`, `process_vm_readv` |
+| Сигналы | `kill`, `tkill`, `tgkill` |
+
+Фильтр устанавливается через `prctl(PR_SET_SECCOMP, SECCOMP_MODE_FILTER)` и динамически компилируется под текущую архитектуру (x86_64, ARM, MIPS, RISC-V).
+
+## Linux Capabilities
+
+После биндинга привилегированных сокетов демон сбрасывает все capabilities, кроме:
+- `CAP_NET_ADMIN` — управление сетевыми параметрами
+- `CAP_NET_RAW` — работа с raw-сокетами
+
+Процесс:
+1. `capget`/`capset` для манипуляции capabilities
+2. Определение максимальной capability через `/proc/sys/kernel/cap_last_cap`
+3. `prctl(PR_CAPBSET_DROP, cap)` для каждой ненужной capability
+4. Финализация без `CAP_SETCAP`
+
+## Сброс привилегий (droproot)
+
+Функция `droproot()` — кросс-платформенное понижение привилегий:
+
+1. `prctl(PR_SET_KEEPCAPS, 1L)` — сохранить capabilities при смене UID
+2. `initgroups()` / `setgroups()` — настройка supplementary groups
+3. `setgid()` — установка primary group
+4. `setuid()` — смена пользователя (**необратимая** операция)
+
+После `droproot()` цикл обработки пакетов работает с минимальными привилегиями.
+
+## NO_NEW_PRIVS
+
+Флаг `prctl(PR_SET_NO_NEW_PRIVS)` запрещает повышение привилегий через `execve()` — критическая защита от цепочек эксплойтов.
+
+## Lua Sandbox
+
+- FFI-модуль **отключён** в LuaJIT → невозможен произвольный доступ к памяти
+- Stack guards (`LUA_STACK_GUARD_ENTER/LEAVE`) защищают от corruption при C↔Lua переходах
+- Lua-окружение изолировано от файловой системы и опасных операций
+
+## Daemonization (изоляция процесса)
+
+- `fork()` — отсоединение от родительского процесса
+- `setsid()` — создание новой группы процессов
+- `chdir("/")` — освобождение смонтированных файловых систем
+- fd 0, 1, 2 → `/dev/null` — изоляция I/O
+
+## Windows (winws2)
+
+Компиляция с security-флагами:
+- **ASLR/DEP**: `--nxcompat`, `--high-entropy-va`
+- **Dynamic base**: `--dynamicbase`
+- **Sandbox**: low integrity level + job object restrictions
+- **Static linking**: защита от DLL injection
+
+## Android
+
+- Graceful handling отсутствия `/etc/passwd`
+- Интеграция с `logcat` через `liblog`
+- Статическая линковка (ограничения Bionic libc)
+
+## Порядок инициализации
+
+Безопасность применяется в строгом порядке:
+
+1. Парсинг конфигурации
+2. Проверка привилегий
+3. Открытие PID-файла (до смены привилегий)
+4. **Сброс привилегий** (`droproot`)
+5. Проверка доступности файлов после смены привилегий
+6. Тестирование Lua-скриптов до активации sandbox
+7. **Применение seccomp** и capability restrictions
+8. Инициализация raw-сокетов
+9. Daemonization
+10. Регистрация signal handlers
+11. Инициализация Lua VM в sandbox-окружении
+12. Инициализация платформенного перехвата пакетов
+13. **Вход в main event loop** с минимальными привилегиями
+
+## Рекомендации для деплоя
+
+- **Всегда** включать droproot до непривилегированного пользователя
+- Настроить права на файлы hostlists/ipsets **до** сброса привилегий
+- Тестировать доступность файлов после смены привилегий
+- Использовать systemd/init-скрипты с правильными security contexts
+- Мониторить reload через SIGHUP для изменений конфигурации
+
+## Философия
+
+Компрометация одного слоя (например, escape из Lua sandbox) **не** даёт полный доступ к системе: seccomp фильтрует syscall-ы, capabilities ограничены, привилегии сброшены. Каждый слой работает независимо.

package/knowledge/platforms/supported.md

@@ -1,10 +1,11 @@
 ---
 title: Supported Platforms
 zapret2-version: v0.9.4.5
-tags: platforms, linux, openwrt, wsl2, windows, macos
-source: official-docs
+tags: platforms, linux, openwrt, wsl2, windows, macos, freebsd, openbsd, bsd, dvtws2, winws2, android
+source: deepwiki/bol-van/zapret2, official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-03-28
+revision: 2
 ---
 
 # Поддерживаемые платформы
@@ -30,16 +31,54 @@ Firewall: nftables (предпочтительно) или iptables.
 
 ## Windows
 
-Нативно не поддерживается. Причины:
-- zapret2 использует NFQUEUE (Linux kernel), Windows использует WinDivert
-- Bash-скрипты vs .cmd
-- Пути: `/opt/zapret2` vs `C:\zapret`
+Поддерживается через **winws2** (WinDivert-based). Демон `winws2` — нативный Windows-бинарник.
 
-**Решение:** Использовать через WSL2 (Windows Subsystem for Linux):
-1. Установить WSL2 с Ubuntu/Debian
-2. Установить zapret2 как на обычный Linux
-3. Настроить WSL2 для перехвата трафика хоста
+Особенности:
+- Использует WinDivert вместо NFQUEUE для перехвата пакетов
+- Компилируется со статической линковкой зависимостей (защита от DLL injection)
+- Security: ASLR/DEP (`--nxcompat`, `--high-entropy-va`), dynamic base relocation
+- Sandbox: low integrity level + job object restrictions
+
+**Альтернатива**: WSL2 (Windows Subsystem for Linux) — установить zapret2 как на обычный Linux.
+
+## FreeBSD
+
+Поддерживается через **dvtws2** (DiVerT WorkStation 2). Использует `ipfw` с divert-сокетами.
+
+Особенности:
+- Один divert-сокет обслуживает и IPv4, и IPv6
+- Firewall: `ipfw` с divert-правилами
+- Интерфейс определяется из `sockaddr` после `recvfrom()`
+- Совместим с pfSense/OPNsense через специальные скрипты
+
+```
+# Пример ipfw-правила
+ipfw add divert 989 tcp from any to any 443 out
+```
+
+**Ограничения BSD**: нет фильтрации по payload в firewall, нет per-flow kernel filtering, каждый пакет проходит через userspace.
+
+## OpenBSD
+
+Поддерживается через **dvtws2**. Использует `pf` с `divert-packet`.
+
+Особенности:
+- **Раздельные** divert-сокеты для IPv4 и IPv6 (в отличие от FreeBSD)
+- Firewall: `pf` с правилами `divert-packet`
+- `no state` — чтобы pf не создавал автоматические bidirectional-правила
+
+```
+# Пример pf-правила
+pass out on egress inet proto tcp to port 443 divert-packet port 989 no state
+```
 
 ## macOS
 
-Не поддерживается. macOS не имеет NFQUEUE или аналогичного механизма перехвата пакетов.
+**Не поддерживается.** Apple удалила `ipdivert` из ядра — механизм divert-сокетов недоступен, несмотря на BSD-наследие.
+
+## Android
+
+Поддерживается (Linux-based). Особенности:
+- Обработка отсутствия `/etc/passwd` для privilege dropping
+- Интеграция с `logcat` через `liblog`
+- Преимущественно статическая линковка (ограничения Bionic libc)

package/knowledge/strategies/fake-packets.md

@@ -1,10 +1,11 @@
 ---
 title: Fake Packet Strategies
 zapret2-version: v0.9.4.5
-tags: fake, rst, rstack, syndata, fooling, md5sig, badsum, autottl, ttl
-source: official-docs
+tags: fake, rst, rstack, syndata, fooling, md5sig, badsum, autottl, ttl, ip6, extension headers, tcp_ts_up, tcp_nop_del, ip_id, ipfrag2, synhide
+source: deepwiki/bol-van/zapret2, official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-03-28
+revision: 2
 ---
 
 # Fake Packets (инъекция пакетов-обманок)
@@ -82,6 +83,53 @@ Fake-пакеты ОБЯЗАНЫ быть отброшены сервером,
 --dpi-desync-fooling=md5sig,badsum
 ```
 
+## Расширенные fooling-параметры (Lua)
+
+В Lua-режиме (`--lua-desync`) доступны дополнительные параметры модификации пакетов.
+
+### IP Layer
+
+| Параметр | Описание |
+|----------|----------|
+| `ip_ttl=N` | Установить IPv4 TTL в значение N |
+| `ip6_ttl=N` | Установить IPv6 hop limit в значение N |
+| `ip_autottl=delta,min-max` | Адаптивный TTL: оценка расстояния по входящим TTL (базы 64, 128, 255), применение delta с ограничениями min-max |
+| `ip_id=seq\|rnd\|zero` | Управление IPv4 Identification: `seq` — инкрементальный, `rnd` — случайный, `zero` — нулевой. Опция `ip_id_conn` привязывает счётчик к соединению |
+
+### IPv6 Extension Headers
+
+Вставка нестандартных заголовков для сбивания stateful DPI:
+
+| Параметр | Заголовок |
+|----------|----------|
+| `ip6_hopbyhop` | Hop-by-Hop Options |
+| `ip6_destopt` | Destination Options |
+| `ip6_routing` | Routing Header |
+| `ip6_ah` | Authentication Header |
+
+Система автоматически вызывает `fix_ip6_next()` для корректной цепочки заголовков.
+
+### TCP Layer
+
+| Параметр | Описание |
+|----------|----------|
+| `tcp_seq=delta` | Сдвиг TCP sequence number (wraparound-safe) |
+| `tcp_ack=delta` | Сдвиг TCP acknowledgment number |
+| `tcp_flags_set=SYN,ACK,...` | Установить TCP-флаги |
+| `tcp_flags_unset=FIN,RST,...` | Сбросить TCP-флаги |
+| `tcp_ts=delta` | Модификация TCP Timestamp option |
+| `tcp_ts_up` | Переместить Timestamp option в начало списка опций (обходит DPI, которые проверяют timestamp только если он первый) |
+| `tcp_nop_del` | Удалить NOP-padding (0x01) из TCP options, освобождая место в 40-байтном пространстве |
+| `tcp_md5[=hexdata]` | Добавить TCP MD5 Signature (Option 19). По умолчанию — 16 нулевых байт |
+
+### Checksum и фрагментация
+
+| Параметр | Описание |
+|----------|----------|
+| `badsum` | Намеренно портит L4 checksum — DPI обрабатывает пакет, стек получателя отбрасывает |
+| `ipfrag2` | Разбивает пакет на 2 IP-фрагмента. TCP: offset 32 байта, UDP: 8 байт. Точка разбиения выравнивается на 8 (требование IP fragmentation) |
+| `ipfrag_disorder` | Отправить второй фрагмент раньше первого для максимального сбоя DPI |
+
 ## Когда использовать
 
 - **fake + md5sig** — основная комбинация. Работает против большинства stateful DPI.

package/knowledge/strategies/lua-scripting.md

@@ -0,0 +1,123 @@
+---
+title: Lua Scripting System
+zapret2-version: v0.9.4.5
+tags: lua, scripting, lua-desync, zapret-lib, zapret-antidpi, zapret-auto, zapret-obfs, obfuscation, wireguard, ippxor, udp2icmp, synhide
+source: deepwiki/bol-van/zapret2, official-docs
+created: 2026-03-28
+updated: 2026-03-28
+---
+
+# Lua Scripting System
+
+Lua-скриптовая система — ядро zapret2. Позволяет гибко программировать стратегии обхода DPI без перекомпиляции C-кода. Разделение: C — перехват и обработка пакетов (производительность), Lua — программируемая логика стратегий (гибкость).
+
+## Архитектура
+
+C-демон (nfqws2/dvtws2/winws2):
+1. Перехватывает пакет через NFQUEUE / divert / WinDivert
+2. Выполняет dissection и connection tracking
+3. Вызывает Lua-функции, указанные через `--lua-desync=<function>:param1=val1`
+4. Lua получает таблицу `desync` с разобранной структурой пакета
+
+### Таблица `desync` (интерфейс C→Lua)
+
+| Поле | Содержимое |
+|------|-----------|
+| `dis` | Разобранная L3/L4/payload структура с указателями на слои |
+| `track` | Connection tracking: sequence numbers, счётчики пакетов, позиции |
+| `arg` | Параметры из `--lua-desync` вызова |
+| `l7proto` | Определённый L7-протокол: `tls`, `http`, `quic`, `dtls`, `wireguard` |
+| `reasm_data` | Реассемблированный payload для multi-packet потоков |
+
+## Основные библиотеки
+
+### zapret-lib.lua (утилиты)
+
+Фундаментальные функции:
+- **Dissection**: `dissect_tls`, `dissect_http`, `dissect_url` — разбор протоколов
+- **Реконструкция**: `rawsend_dissect_segmented`, `ipfrag2` — отправка модифицированных пакетов
+- **Модификация**: `apply_fooling` — применение fooling-параметров (TTL, checksums, etc.)
+
+### zapret-antidpi.lua (стратегии обхода)
+
+Реализация DPI bypass техник:
+- `fake` — отправка пакетов с невалидными checksums/TTL
+- `multisplit` — сегментация payload на несколько частей
+- `multidisorder` — переупорядочивание сегментов
+- `oob` — out-of-band пакеты
+- `syndata` — данные в SYN-пакете
+- `rst` — fake RST для сброса DPI-состояния
+
+Параметры поддерживают динамическую подстановку: `#` (длина) и `%` (значение).
+
+### zapret-auto.lua (оркестрация)
+
+Управление ротацией стратегий:
+- **`circular`** — ротирует стратегии при сбоях (следующая стратегия при failure)
+- **`repeater`** — повторяет стратегию указанное число раз
+- **`standard_failure_detector`** — мониторинг ретрансмиссий и RST для детекции сбоев
+- Автоматическое переключение стратегий при обнаружении блокировки
+
+### zapret-obfs.lua (обфускация протоколов)
+
+Продвинутые техники скрытия трафика:
+
+#### WireGuard Obfuscation (wgobfs)
+- Шифрует handshake-сообщения WireGuard (initiation, response, cookie) через AES-GCM
+- Data-пакеты не шифруются (уже зашифрованы WireGuard)
+- Ключ AES-128 генерируется из shared secret через HKDF-SHA256
+- Overhead: 30-46 байт → нужно уменьшить MTU на WireGuard-интерфейсе
+- Параметр `secret=<shared_secret>` (обязательный)
+- Настраиваемый padding: min 0, max 16 байт
+
+#### IP Protocol XOR (ippxor)
+- XOR IP protocol number для маскировки под другой протокол
+- Опциональный XOR payload с повторяющимся паттерном
+- Если результат — TCP/UDP/ICMP, пакет переразбирается для корректной L4 dissection
+
+#### UDP to ICMP (udp2icmp)
+- Инкапсуляция UDP в ICMP без изменения размера пакета
+- UDP-порты кодируются в ICMP identifier: `sport XOR dport`
+- Client→Server: ICMP_ECHO, Server→Client: ICMP_ECHOREPLY
+
+#### TCP Handshake Hiding (synhide)
+- Скрывает TCP three-way handshake убирая SYN-флаг и вставляя magic-маркеры
+- Режимы маркера: `x2` (reserved bits), `urp` (urgent pointer), `opt` (TCP option), `tsecr` (timestamp echo reply)
+- Ghost SYN: пакет с низким TTL для создания NAT-записи без достижения сервера
+
+## C-Lua Integration Bridge
+
+Мост в `nfq2/lua.c`:
+- Конвертирует C-структуры (`struct dissect`, `struct t_ctrack`) в Lua-таблицы
+- Экспортирует ~100 C-функций: `rawsend`, `dissect`, криптография (AES-GCM, HKDF, SHA), bitwise-операции
+- Stack guards (`LUA_STACK_GUARD_ENTER/LEAVE`) для предотвращения memory leaks
+- FFI модуль **отключён** в LuaJIT (sandbox)
+
+## Управление производительностью: Cutoff
+
+Два механизма для поддержания throughput:
+
+| Механизм | Эффект |
+|----------|--------|
+| `instance_cutoff(ctx, [dir])` | Отключает текущий Lua-инстанс для данного соединения |
+| `lua_cutoff(ctx, [dir])` | Отключает ВСЮ Lua-обработку, возврат к чистому C |
+
+Применяется после того, как стратегия отработала на нужных пакетах (например, после ClientHello), чтобы не тратить ресурсы на последующие пакеты потока.
+
+## Вызов и конфигурация
+
+```
+--lua-desync=function_name:param1=value1:param2=value2
+```
+
+- Несколько `--lua-desync` в одном профиле — цепочка инстансов
+- Каждый инстанс имеет свои параметры через `arg`
+- Вердикты агрегируются: DROP > MODIFY > PASS
+- Multi-profile через `--new` — каждый профиль со своей цепочкой
+
+## Ключевые свойства
+
+- **Stateless design**: каждая Lua-функция получает полный контекст пакета
+- **Reassembly**: поддержка multi-packet протоколов (TLS ClientHello может быть в нескольких TCP-сегментах)
+- **Dynamic substitution**: `#` (длина) и `%` (значение) в параметрах стратегий
+- **Sandboxing**: Lua изолирован от файловой системы, FFI отключён, опасные операции недоступны

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "zapret2-mcp",
-  "version": "0.7.0",
+  "version": "0.7.1",
   "description": "MCP knowledge server for zapret2 DPI bypass tool and blockcheckw strategy scanner",
   "license": "MIT",
   "author": "Stanislav Zemlyakov",