zapret2-mcp 0.7.1 → 0.7.3

package/CHANGELOG.md

@@ -1,5 +1,20 @@
 # Changelog
 
+## [0.7.3](https://github.com/rcd27/zapret2-mcp/compare/v0.7.2...v0.7.3) (2026-03-28)
+
+
+### Bug Fixes
+
+* **readme:** актуальное состояние базы знаний в readme ([c91441c](https://github.com/rcd27/zapret2-mcp/commit/c91441ce8ef223bbcfe15619a01ba5f2fa7066ad))
+
+## [0.7.2](https://github.com/rcd27/zapret2-mcp/compare/v0.7.1...v0.7.2) (2026-03-28)
+
+
+### Features
+
+* **knowledge:** ряд статей и правок, согласно опыту community ([e7769c0](https://github.com/rcd27/zapret2-mcp/commit/e7769c0cadc372e679c3bf5dff2e234069629e41))
+* **knowledge:** стратегии сообщества + данные по ночным перезагрузкам + правки ([2173d3b](https://github.com/rcd27/zapret2-mcp/commit/2173d3bc39711cc1ee2bdf779effff6d6ffd8a5c))
+
 ## [0.7.1](https://github.com/rcd27/zapret2-mcp/compare/v0.7.0...v0.7.1) (2026-03-28)
 
 

package/README.md

@@ -2,21 +2,22 @@
 
 [![CI](https://github.com/rcd27/zapret2-mcp/actions/workflows/ci.yml/badge.svg)](https://github.com/rcd27/zapret2-mcp/actions/workflows/ci.yml)
 [![npm](https://img.shields.io/npm/v/zapret2-mcp)](https://www.npmjs.com/package/zapret2-mcp)
-[![Knowledge Base](https://img.shields.io/badge/knowledge_base-32_articles-green)](./knowledge/)
+[![downloads](https://img.shields.io/npm/dm/zapret2-mcp)](https://www.npmjs.com/package/zapret2-mcp)
+[![Knowledge Base](https://img.shields.io/badge/knowledge_base-35_articles-green)](./knowledge/)
 [![License: MIT](https://img.shields.io/badge/License-MIT-blue.svg)](LICENSE)
 
 База знаний по [zapret2](https://github.com/bol-van/zapret2) (DPI bypass) и [blockcheckw](https://github.com/rcd27/blockcheckw) (сканер стратегий). Работает как [MCP-сервер](https://modelcontextprotocol.io/) для LLM-агентов и как обычная документация.
 
-> **Можно использовать без агентов.** [`knowledge/`](./knowledge/) — 32 статьи на русском языке. Открывайте и читайте как обычную документацию, без установки чего-либо.
+> **Можно использовать без агентов.** [`knowledge/`](./knowledge/) — 35 статей на русском языке. Открывайте и читайте как обычную документацию, без установки чего-либо.
 
 ## Что внутри
 
 | Раздел | Статей | Темы |
 |--------|--------|------|
-| [strategies/](./knowledge/strategies/) | 9 | TCP segmentation, fake packets, Lua scripting, QUIC, circular, Discord, Telegram, orchestration |
+| [strategies/](./knowledge/strategies/) | 10 | TCP segmentation, fake packets, Lua scripting, QUIC, circular, Discord, Telegram, orchestration, community production strategies |
 | [config/](./knowledge/config/) | 9 | nfqws2 CLI, zapret2 config, desync profiles, hostlists/ipsets, auto-hostlist, security hardening, UCI, blobs, миграция v1 → v2 |
 | [troubleshooting/](./knowledge/troubleshooting/) | 5 | Smart TV + YouTube, QUIC, IPv6, FLOWOFFLOAD, конфликты с Podkop |
-| [tspu/](./knowledge/tspu/) | 4 | Архитектура ТСПУ, DPI engine, методы блокировки, двухстадийная система |
+| [tspu/](./knowledge/tspu/) | 6 | Архитектура ТСПУ, DPI engine, методы блокировки, двухстадийная система, ночные реконфигурации, юридические риски |
 | [workflows/](./knowledge/workflows/) | 2 | Установка, поиск стратегии |
 | [blockcheckw/](./knowledge/blockcheckw/) | 2 | Overview, команды |
 | [platforms/](./knowledge/platforms/) | 1 | Linux, OpenWrt, Windows, FreeBSD, OpenBSD, Android |
@@ -94,6 +95,7 @@ npm start
 - [zapret2](https://github.com/bol-van/zapret2) — DPI bypass от bol-van
 - [blockcheckw](https://github.com/rcd27/blockcheckw) — быстрый сканер стратегий
 - [tspu-docs](https://github.com/DanielLavrushin/tspu-docs) — документация ТСПУ
+- Academic: [IMC 2022](https://dl.acm.org/doi/10.1145/3517745.3561461), [IMC 2021](https://dl.acm.org/doi/10.1145/3487552.3487858), [NDSS 2020](https://www.ndss-symposium.org/ndss-paper/decentralized-control-a-case-study-of-russia/), [USENIX Security 2023](https://www.usenix.org/conference/usenixsecurity23/presentation/ramesh-network-responses) — рецензированные исследования архитектуры и поведения ТСПУ
 - Community — обезличенные знания из открытых обсуждений
 
 ## Лицензия

package/knowledge/strategies/community-strategies.md

@@ -0,0 +1,129 @@
+---
+title: Community Strategies — Production Examples
+zapret2-version: v0.9.4.5
+tags: community, strategies, circular, production, youtube, examples, multidisorder, multisplit, hostfakesplit
+source: community
+created: 2026-03-29
+updated: 2026-03-29
+---
+
+# Community-стратегии (production-примеры)
+
+**Важно:** "серебряной пули" не существует. Эффективность стратегий зависит от провайдера, региона и текущей конфигурации ТСПУ. Используйте `blockcheckw scan` + `blockcheckw check` для поиска рабочей стратегии на вашем подключении.
+
+Приведённые примеры — обезличенные стратегии, зарекомендовавшие себя у множества пользователей на разных провайдерах. Актуальность: март 2026.
+
+## Шаблон circular-стратегии
+
+Большинство production-стратегий используют единый шаблон:
+
+```
+--out-range=-s34228
+--payload=tls_client_hello
+--in-range=-s5556 --lua-desync=circular:fails=3:maxtime=60
+--in-range=x
+--lua-desync=<action>:strategy=1
+--lua-desync=<action>:strategy=2
+...
+--lua-desync=<action>:strategy=N:final
+```
+
+Разбор:
+- `--out-range=-s34228` — обрабатывать исходящие пакеты в пределах ~25 TCP-пакетов
+- `--in-range=-s5556` — обрабатывать входящие до ~5 TCP-пакетов (для circular-детекции сбоев)
+- `--lua-desync=circular:fails=3:maxtime=60` — переключение стратегии после 3 неудач или 60 секунд
+- `--in-range=x` — отключить обработку входящих для desync-действий (только для circular-мониторинга)
+- `:final` — маркер последней стратегии в цепочке circular
+
+## Стратегия: multidisorder + fake (широкая совместимость)
+
+Работает на многих провайдерах. Два варианта в circular-ротации:
+
+```
+--out-range=-s34228
+--payload=tls_client_hello
+--in-range=-s5556 --lua-desync=circular:fails=3:maxtime=60
+--in-range=x
+--lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1:strategy=1
+--lua-desync=fake:blob=fake_default_tls:badsum:tls_mod=sni=rzd.ru:repeat=8:strategy=1
+--lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1:strategy=2
+--lua-desync=fake:blob=blob_tls_clienthello_www_google_com:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeat=4:strategy=2:final
+```
+
+Как работает:
+1. **multidisorder** разбивает ClientHello на 7 точек (SNI extension, hostname, середина SLD, конец hostname) — делает SNI непарсабельным для DPI
+2. **fake** отправляет поддельный ClientHello с подменённым SNI, битой checksum и смещёнными TCP sequence/ack — DPI "залипает" на фейке, сервер отбрасывает
+
+## Стратегия: простая fake + multisplit
+
+Минимальная стратегия для провайдеров с менее агрессивным DPI:
+
+```
+--out-range=-s34228
+--payload=tls_client_hello
+--in-range=-s5556 --lua-desync=circular:fails=3:maxtime=90
+--in-range=x
+--lua-desync=fake:blob=fake_default_tls:tcp_seq=1000000:repeats=1:strategy=1
+--lua-desync=multisplit:pos=2:strategy=1
+--lua-desync=fake:blob=fake_default_tls:tcp_seq=1000000:repeats=1:strategy=2
+--lua-desync=multisplit:pos=midsld:strategy=2
+--lua-desync=fake:blob=fake_default_tls:badsum:repeats=1:strategy=3
+--lua-desync=hostfakesplit:badsum:repeats=1:strategy=3
+--lua-desync=fake:blob=fake_default_tls:tcp_flags_unset=ACK:repeats=1:strategy=4
+--lua-desync=hostfakesplit:disorder_after:tcp_flags_unset=ACK:repeats=1:strategy=4
+--lua-desync=fake:blob=fake_default_tls:tcp_flags_set=SYN:repeats=1:strategy=5
+--lua-desync=hostfakesplit:midhost=midsld:tcp_flags_set=SYN:repeats=1:strategy=5:final
+```
+
+5 стратегий в ротации, каждая использует разные методы fooling: tcp_seq offset, badsum, tcp_flags.
+
+## Стратегия: расширенная с TTL-перебором
+
+Для провайдеров, где DPI чувствителен к TTL:
+
+```
+--out-range=-s34228
+--payload=tls_client_hello
+--in-range=-s5556 --lua-desync=circular:fails=3:maxtime=60
+--in-range=x
+--lua-desync=fake:blob=fake_default_tls:ip_ttl=2:repeats=1 --payload=empty --out-range=s1<d1 --lua-desync=pktmod:ip_ttl=1:strategy=1
+--lua-desync=fake:blob=fake_default_tls:ip_ttl=3:repeats=1 --payload=empty --out-range=s1<d1 --lua-desync=pktmod:ip_ttl=1:strategy=2
+...
+--lua-desync=fake:blob=fake_default_tls:ip_ttl=8:repeats=1 --payload=empty --out-range=s1<d1 --lua-desync=pktmod:ip_ttl=1:strategy=7
+--lua-desync=fake:blob=fake_default_tls:badsum:repeats=1:strategy=8
+--lua-desync=fake:blob=fake_default_tls:tcp_ts=-1000:repeats=1:strategy=9:final
+```
+
+Circular перебирает TTL от 2 до 8, затем fallback на badsum и tcp_ts. Используется `pktmod:ip_ttl=1` для уменьшения TTL реальных пакетов после отправки fake.
+
+## Стратегия: простая без circular (лёгкий DPI)
+
+Для провайдеров с простым DPI, где достаточно TCP segmentation:
+
+```
+--payload=tls_client_hello
+--lua-desync=tcpseg:pos=0,midsld:ip_id=rnd:repeats=1
+```
+
+Минимальный overhead, работает на провайдерах, где DPI не умеет собирать TCP-фрагменты.
+
+## Стратегия: fake + multidisorder без circular
+
+Простой двухступенчатый bypass без circular-ротации:
+
+```
+--payload=tls_client_hello
+--lua-desync=fake:blob=blob_tls_clienthello_escapefromtarkov_com:badsum:tcp_ts=-600000:repeats=6
+--lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1
+```
+
+1. 6 fake ClientHello с битой checksum и сильно сдвинутым timestamp
+2. Настоящий ClientHello разбивается multidisorder на 7 позиций
+
+## Рекомендации по выбору
+
+1. **Начни с простой** (`tcpseg` без circular) — если работает, не усложняй
+2. **Если простая не работает** — попробуй multidisorder + fake (широкая совместимость)
+3. **Если ломается через время** — добавь circular с 3+ стратегиями
+4. **YouTube требует особого подхода** — используй стратегии с out-range=-s34228 для обработки больших ClientHello
+5. **Используй `blockcheckw scan` + `check`** — автоматический подбор всегда лучше ручного

package/knowledge/strategies/fake-packets.md

@@ -4,8 +4,8 @@ zapret2-version: v0.9.4.5
 tags: fake, rst, rstack, syndata, fooling, md5sig, badsum, autottl, ttl, ip6, extension headers, tcp_ts_up, tcp_nop_del, ip_id, ipfrag2, synhide
 source: deepwiki/bol-van/zapret2, official-docs
 created: 2026-03-25
-updated: 2026-03-28
-revision: 2
+updated: 2026-03-29
+revision: 3
 ---
 
 # Fake Packets (инъекция пакетов-обманок)
@@ -23,6 +23,42 @@ revision: 2
 ### syndata
 Отправляет данные в SYN-пакете (нестандартное поведение). Сбивает некоторые DPI.
 
+### fakeddisorder
+Комбинация fake + disorder в одном действии. Отправляет fake-пакет и переупорядочивает сегменты:
+```
+--lua-desync=fakeddisorder:pos=method+2:tcp_md5
+--lua-desync=fakeddisorder:pos=10,midsld:seqovl=336:seqovl_pattern=blob_tls_clienthello_www_google_com:badsum
+```
+
+### tls_client_hello_clone
+Клонирует реальный TLS ClientHello в blob для использования как fake. Создаёт максимально правдоподобный fake, т.к. он основан на реальном пакете:
+```
+--lua-desync=tls_client_hello_clone:blob=cloned_tls:fallback=fake_default_tls
+--lua-desync=fake:blob=cloned_tls:optional:tcp_seq=10000000:tls_mod=rnd,dupsid,sni=fonts.google.com
+```
+Параметры:
+- `blob=<name>` — имя для сохранения клона
+- `fallback=<blob>` — fallback blob, если клонирование не удалось
+
+### hostfakesplit
+Split с fake на уровне hostname. Позволяет указать конкретный хост для fake-части:
+```
+--lua-desync=hostfakesplit:host=ozon.ru:midhost=host-2:seqovl=sniext+3:seqovl_pattern=tls_clienthello:badsum:tcp_md5:tcp_ts_up
+--lua-desync=hostfakesplit:host=google.com:tcp_ts=-600000
+```
+Параметры:
+- `host=<domain>` — домен для fake-части
+- `midhost=<pos>` — позиция разделения внутри hostname (`midsld`, `host-2` и т.д.)
+- `altorder=1` — альтернативный порядок отправки сегментов
+- `disorder_after` — переупорядочить после split
+
+### pktmod
+Модификация пакета без отправки fake. Используется для изменения параметров реальных пакетов:
+```
+--lua-desync=pktmod:ip_ttl=1
+```
+Часто используется в паре с fake в circular-стратегиях для TTL-перебора.
+
 ## Параметры fake-пакетов
 
 ```
@@ -40,8 +76,11 @@ Lua-формат:
 - `blob=<payload>` — binary payload для fake
 - `tcp_md5` — добавить MD5 signature (fooling)
 - `tcp_seq=<offset>` — смещение TCP sequence
-- `tls_mod=<mods>` — модификации TLS: `rnd`, `rndsni`, `sni=<str>`, `dupsid`, `padencap`
+- `tls_mod=<mods>` — модификации TLS: `rnd`, `rndsni`, `sni=<str>`, `dupsid`, `padencap`, `none`
 - `repeats=<N>` — количество повторений fake-пакета
+- `tcp_ack=<delta>` — сдвиг TCP acknowledgment number (например `-66000`)
+- `optional` — не считать ошибкой, если blob не найден
+- `nodrop` — не дропать оригинальный пакет (для multisplit с blob)
 
 ## Fooling (маскировка fakes)
 

package/knowledge/strategies/orchestration.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: circular-strategy, rotation, resilience, multi-strategy, profiles, autohostlist
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-28
+updated: 2026-03-29
 ---
 
 # Оркестрация стратегий
@@ -22,9 +22,22 @@ Circular — автоматическая ротация между нескол
 Параметры:
 - `fails=N` — порог неудач для смены стратегии (по умолчанию 2)
 - `maxtime=N` — временное окно в секундах (по умолчанию 60)
+- `time=N` — альтернативное имя для `maxtime`
+- `retrans=N` — количество ретрансмиссий до считывания неудачи
+- `nld=N` — количество записей в NLD (network latency detection)
 
 **Важно:** параметры circular должны быть без пробелов между стратегиями.
 
+### Маркер `:final`
+
+Последняя стратегия в circular-цепочке должна быть помечена `:final`:
+
+```
+--lua-desync=multisplit:pos=1,midsld:strategy=3:final
+```
+
+После достижения последней стратегии circular начинает цикл заново с strategy=1.
+
 ### Привязка стратегий к circular
 
 Каждый `--lua-desync` может быть привязан к конкретной стратегии ротации через `strategy=N`:
@@ -72,9 +85,19 @@ nfqws2 \
 
 ### Range-параметры в circular
 
-- `--out-range=-s34228` — обрабатывать исходящие пакеты до ~25 TCP-пакетов (по TCP sequence)
-- `--in-range=-s5556` — обрабатывать входящие пакеты до ~5 TCP-пакетов
-- `--in-range=x` — отключить обработку входящих (после circular-директивы)
+- `--out-range=-s34228` — обрабатывать исходящие пакеты до ~25 TCP-пакетов (по TCP sequence). Достаточно для полного TLS ClientHello включая большие (YouTube)
+- `--in-range=-s5556` — обрабатывать входящие пакеты до ~5 TCP-пакетов. Используется circular для детекции сбоев (отсутствие Server Hello = неудача)
+- `--in-range=x` — отключить обработку входящих для desync-действий (ставится после circular-директивы, чтобы desync-действия не реагировали на входящие пакеты)
+
+### pktmod в circular
+
+`pktmod` — специальное действие для модификации пакета без desync. Используется в паре с TTL-перебором:
+
+```
+--lua-desync=fake:blob=fake_default_tls:ip_ttl=3:repeats=1 --payload=empty --out-range=s1<d1 --lua-desync=pktmod:ip_ttl=1:strategy=2
+```
+
+Логика: fake отправляется с TTL=3 (умрёт после 3 хопов), затем `pktmod` уменьшает TTL реальных пакетов до 1 для out-range условия `s1<d1` (первый пакет после fake).
 
 ## Multi-profile конфигурация
 

package/knowledge/troubleshooting/common-issues.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: troubleshooting, diagnosis, problems, fixes
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-03-29
 ---
 
 # Диагностика проблем zapret2
@@ -50,10 +50,13 @@ blockcheckw status -d example.com
 
 ### Стратегия перестала работать
 
-**Причина:** DPI обновился. Стратегия, работавшая вчера, может не работать сегодня.
+**Причина:** DPI обновился. ТСПУ периодически обновляет конфигурации, чаще всего ночью. Стратегия, работавшая вчера, может не работать сегодня.
 **Решение:**
-1. Запустить blockcheckw scan заново
-2. Для resilience: `--dpi-desync-circular-strategy=N` для авто-ротации
+1. Если перестала работать ночью — подождать 15-30 минут, возможна реконфигурация ТСПУ
+2. Запустить `blockcheckw scan` заново для поиска новой стратегии
+3. Для resilience: использовать `--lua-desync=circular:fails=3:maxtime=60` с 3+ стратегиями в ротации
+
+Подробнее о ночных реконфигурациях: `tspu/night-reconfig.md`
 
 ### Модуль NFQUEUE не загружен
 
@@ -100,6 +103,26 @@ echo "nameserver 1.1.1.1" > /etc/resolv.conf
 **Диагностика:** blockcheckw check с `--passes 3` обнаружит эту проблему.
 **Решение:** Выбрать стратегию, прошедшую check (32KB+ download).
 
+### CPU 100% на слабых роутерах
+
+**Симптомы:** Процессор загружен на 100% при активном bypass, роутер тормозит, Wi-Fi отваливается.
+**Причина:** Сложные circular-стратегии с множеством desync-действий (multidisorder, множественные fake) нагружают CPU. Особенно критично на роутерах с одноядерными SoC (Keenetic 1713 и аналоги).
+**Решение:**
+1. Упростить стратегию — использовать `tcpseg` или `split2` вместо multidisorder с 7 позициями
+2. Уменьшить `repeats` в fake (6→2)
+3. Убрать лишние стратегии из circular — оставить 2-3 вместо 10+
+4. Отключить QUIC-обработку, если не нужна
+5. Для YouTube рассмотреть выделение через VPN/прокси вместо zapret2
+
+### DNS-резолвер блокирует DoH/DoT
+
+**Симптомы:** DNS резолвится, но DoH/DoT подключения к внешним DNS-серверам (1.1.1.1, 8.8.8.8) не работают.
+**Причина:** ТСПУ блокирует DoH/DoT по SNI (dns.google, cloudflare-dns.com) или по IP.
+**Решение:**
+1. Использовать DNS-резолвер роутера с перенаправлением (dnsmasq)
+2. Попробовать менее известные DoH-провайдеры
+3. Применить zapret2 к DNS-трафику (добавить домены DNS-серверов в hostlist)
+
 ## Диагностические команды
 
 ```bash

package/knowledge/tspu/architecture.md

@@ -1,15 +1,28 @@
 ---
 title: TSPU Architecture — How Russian DPI Works
 tags: tspu, dpi, architecture, ecofilter, bypass, balancer, filter, blocking
-source: github/DanielLavrushin/tspu-docs
+source: github/DanielLavrushin/tspu-docs, academic/IMC-2022, academic/IMC-2021
 created: 2026-03-25
-updated: 2026-03-28
+updated: 2026-03-29
 ---
 
 # Архитектура ТСПУ (DPI-система блокировок)
 
 ТСПУ (Технические средства противодействия угрозам) — аппаратный комплекс DPI, установленный у операторов связи в России. Понимание его архитектуры помогает выбирать эффективные стратегии обхода.
 
+## Масштаб развёртывания (научные данные)
+
+По данным академического исследования (IMC 2022, Diwen Xue et al. "TSPU: Russia's Decentralized Censorship System"):
+
+- **1 000 000+** эндпоинтов в России идентифицированы за ТСПУ-устройствами
+- **650+ AS** (автономных систем) охвачены
+- **70%** ТСПУ-устройств расположены **в пределах 2 хопов** от конечного IP-адреса пользователя
+- Устройства работают **in-path** (в разрыв канала), а не off-path/mirrored
+- **Stateful** — поддерживают состояние TCP-сессий с уникальными характеристиками state management
+- **Направленность**: ТСПУ блокирует только соединения, **инициированные из России**. Входящие соединения извне не блокируются.
+
+Физическое развёртывание децентрализовано (на площадках провайдеров), но политики блокировки **централизованно управляются** Роскомнадзором.
+
 ## Компоненты ТСПУ
 
 ```
@@ -31,7 +44,7 @@ updated: 2026-03-28
 ### Фильтр (EcoFilter)
 DPI-устройство. Работает на L2 (прозрачный «провод»). Не имеет IP-интерфейсов в data plane. Отключён LLDP.
 
-**Аппаратура**: Intel Xeon Gold 6212 (24 ядра), 192-384 ГБ RAM. До 4160 ядер в старшей линейке.
+**Аппаратура** (из утечек/community, не подтверждено научными публикациями): Intel Xeon Gold 6212 (24 ядра), 192-384 ГБ RAM. До 4160 ядер в старшей линейке.
 
 ## Путь пакета через фильтр
 
@@ -55,3 +68,5 @@ DPI-устройство. Работает на L2 (прозрачный «пр
 - Симметричный хэш → обе стороны сессии на одном ядре → фильтр видит полную картину
 - DPI-листы загружаются периодически → есть окно между появлением ресурса и блокировкой
 - `send RST off` может быть включён → тогда HTTPS блокируется тихим drop вместо RST
+- Направленность → ТСПУ блокирует только outbound-соединения из РФ. Это значит, что серверы за рубежом могут инициировать соединения к российским IP без блокировки
+- Близость к пользователю (2 хопа) → фильтр видит трафик до NAT провайдера, что усложняет использование TTL-based fooling (мало хопов между пользователем и DPI)

package/knowledge/tspu/blocking-methods.md

@@ -1,18 +1,29 @@
 ---
 title: TSPU Blocking Methods and Protocol Degradation
 tags: tspu, blocking, degradation, capacity, rst, redirect, drop, dpi-list, quic
-source: github/DanielLavrushin/tspu-docs
+source: github/DanielLavrushin/tspu-docs, academic/IMC-2022, academic/IMC-2021
 created: 2026-03-25
-updated: 2026-03-28
+updated: 2026-03-29
 ---
 
 # Методы блокировки ТСПУ
 
+## Три типа триггеров (IMC 2022)
+
+По данным академического исследования, ТСПУ использует три типа триггеров для блокировки:
+
+1. **SNI-based** — анализ Server Name Indication в TLS ClientHello. Основной метод для HTTPS.
+2. **IP-based** — блокировка по IP-адресу назначения (через DPI-листы или Eco Highway BGP).
+3. **QUIC-based** — анализ QUIC Initial packet, извлечение SNI.
+
+Эти три триггера порождают **шесть различных типов блокирующего поведения**, в зависимости от комбинации триггера, протокола и конфигурации DPI-листа.
+
 ## Типы блокировки (DPI behavior)
 
 | Behavior | Действие | Протоколы |
 |----------|----------|-----------|
 | **block** | Блокировка трафика | HTTP → 302 redirect, HTTPS → TCP RST или silent drop |
+| **throttle** | Ограничение скорости (дроп пакетов с вероятностью) | Все |
 | **ignore** | Распознать, но пропустить (для двухстадийной блокировки) | Все |
 | **redirect** | HTTP-редирект на страницу-заглушку | Только HTTP |
 | **color** | Пометить трафик (для мониторинга) | Все |
@@ -29,6 +40,23 @@ updated: 2026-03-28
 
 **`send RST off`** — критический параметр. Когда включён, приложения бесконечно пытаются переподключиться (нет явного отказа). Когда выключен — отправляется RST, что является явным сигналом блокировки.
 
+## Throttling (целенаправленное замедление)
+
+Отдельный от capacity degradation метод. Подтверждён научными исследованиями:
+
+**Twitter (март 2021, IMC 2021):**
+- Первый задокументированный случай mass throttling через ТСПУ
+- Триггер: SNI в TLS ClientHello содержит домен Twitter
+- Скорость ограничена до 130-150 kbps путём дропа пакетов
+- Подтверждено замерами из 401 AS в России
+
+**YouTube (июль 2024+, DFRLab 2025):**
+- Throttling через дроп ACK-пакетов (client-to-server)
+- Первоначально тестировалось на Ростелеком и Теле2, затем расширено
+- Видео буферизуется, но не блокируется полностью
+
+**Отличие от capacity degradation:** throttling — фиксированное ограничение скорости, capacity degradation — вероятностный дроп пакетов. Оба метода обходятся стратегиями DPI bypass, т.к. DPI перестаёт распознавать протокол.
+
 ## Деградация протоколов (capacity)
 
 ТСПУ может **частично** блокировать протокол, дропая пакеты с заданной вероятностью:

package/knowledge/tspu/dpi-engine.md

@@ -3,7 +3,7 @@ title: TSPU DPI Engine — How Protocols Are Recognized
 tags: tspu, dpi, engine, recognition, protocols, analysis, signatures, obfuscation
 source: github/DanielLavrushin/tspu-docs
 created: 2026-03-25
-updated: 2026-03-28
+updated: 2026-03-29
 ---
 
 # DPI Engine ТСПУ — как распознаются протоколы
@@ -46,10 +46,23 @@ DPI парсит SNI из ClientHello. Если пакет разбит на ф
 DPI обрабатывает пакеты последовательно. Fake с поддельным SNI обрабатывается первым, DPI "запоминает" фальшивый домен, настоящий пакет проходит без инспекции.
 
 ### Почему multisplit нужен против продвинутого DPI
-ТСПУ может пересобирать single-split сегменты (у него достаточно RAM — 192-384 ГБ). Multi-split на нескольких позициях усложняет reassembly.
+ТСПУ предположительно может пересобирать single-split сегменты (community observation; научные публикации не подтверждают TCP reassembly capability напрямую, но эмпирически split2 перестал работать на многих провайдерах). Multi-split на нескольких позициях усложняет reassembly.
 
 ### Почему capacity degradation (0-100) опасна
 ТСПУ может не полностью блокировать протокол, а дропать пакеты с вероятностью. При capacity 2-10% протокол становится практически нерабочим: голосовые вызовы рвутся, видео буферизуется, страницы не грузятся.
 
 ### Почему стратегии "протухают"
 ЦСУ видит **все** сессии со **всех** 350 площадок (~5000 устройств). Статистический анализ на таком объёме позволяет выявлять новые паттерны обхода и обновлять сигнатуры.
+
+## IPv6 на ТСПУ (март 2026)
+
+ТСПУ научился блокировать по IPv6. Ранее IPv6-трафик часто проходил мимо DPI-инспекции, и ресурсы были доступны по IPv6 без каких-либо стратегий bypass. По состоянию на март 2026 это уже не так — ТСПУ обрабатывает IPv6 наравне с IPv4.
+
+Последствия:
+- Стратегии, которые работали "из коробки" через IPv6 — перестали работать
+- Необходимо настраивать bypass для IPv6 отдельно: `DISABLE_IPV6=0` в конфиге, поиск стратегий через `IPVS=6`
+- Подробнее см. `troubleshooting/ipv6-trap.md`
+
+## Перегрузка ТСПУ через MTProto
+
+Массовое использование бесплатных MTProto прокси создаёт значительную нагрузку на ТСПУ. При перегрузке DPI может временно пропускать трафик, который обычно блокирует. Это побочный эффект объёма трафика, а не целенаправленная атака на DPI.

package/knowledge/tspu/legal-risks.md

@@ -0,0 +1,37 @@
+---
+title: Legal Risks and ISP Enforcement
+tags: tspu, legal, isp, fine, revizor, rkn, provider, enforcement
+source: community
+created: 2026-03-29
+updated: 2026-03-29
+---
+
+# Юридические риски и контроль провайдеров
+
+## Система "Ревизор"
+
+РКН использует автоматизированную систему "Ревизор" для мониторинга корректности работы ТСПУ у провайдеров. Система проверяет доступность заблокированных ресурсов из сети провайдера.
+
+### Как работает
+- Ревизор выполняет запросы к заблокированным ресурсам через сеть провайдера
+- Если ресурс доступен (трафик не проходит через ТСПУ или ТСПУ не блокирует) — фиксируется нарушение
+- Нарушения агрегируются и передаются в судебную систему
+
+### Прецеденты
+- Провайдеры штрафуются по закону "О связи" за обход или некорректную работу ТСПУ
+- Минимальный штраф по статье — 500 000 рублей, суды могут снижать до 250 000 рублей
+
+## Что это значит для пользователей zapret2
+
+### zapret2 работает на стороне пользователя
+- zapret2/nfqws2 модифицирует трафик на стороне клиента (роутер пользователя)
+- Провайдер не участвует в обходе — ТСПУ установлен у провайдера, но обход происходит на уровне пакетов до ТСПУ
+- Ревизор проверяет провайдера, не пользователя
+
+### Отличие от провайдерского обхода
+- Провайдер, маршрутизирующий трафик мимо ТСПУ — нарушает закон
+- Пользователь, модифицирующий свой трафик через zapret2 — другая юридическая ситуация
+
+## MTProto прокси и нагрузка на ТСПУ
+
+Массовое использование бесплатных MTProto прокси создаёт значительную нагрузку на ТСПУ, что иногда приводит к сбоям в работе DPI. Это побочный эффект, а не целенаправленный обход.

package/knowledge/tspu/night-reconfig.md

@@ -0,0 +1,35 @@
+---
+title: TSPU Night Reconfiguration
+tags: tspu, reconfig, night, strategy-breaks, timing, maintenance
+source: community
+created: 2026-03-29
+updated: 2026-03-29
+---
+
+# Ночные реконфигурации ТСПУ
+
+## Явление
+
+ТСПУ периодически обновляет свои конфигурации, преимущественно в ночное время. В момент обновления ранее рабочие стратегии bypass могут временно перестать работать.
+
+## Поведение
+
+- Обновления происходят нерегулярно, чаще всего ночью (по московскому времени)
+- Во время реконфигурации DPI может вести себя непредсказуемо: пропускать трафик, блокировать ранее работавшие стратегии, или менять паттерны фильтрации
+- После завершения реконфигурации поведение стабилизируется, но набор эффективных стратегий может измениться
+
+## Практические последствия
+
+### Для пользователей
+- Если стратегия перестала работать ночью — не паниковать, подождать 15-30 минут
+- Если после ожидания не восстановилось — запустить `blockcheckw scan` для поиска новой стратегии
+- Circular strategy с несколькими вариантами (`--lua-desync=circular`) значительно повышает устойчивость к реконфигурациям
+
+### Для поиска стратегий
+- Результаты blockcheckw/blockcheck2, полученные ночью в момент реконфигурации, могут быть неточными
+- Оптимальное время для поиска стратегий — дневные часы, когда конфигурация ТСПУ стабильна
+- Верификация через `blockcheckw check --passes 3` помогает отсеять нестабильные результаты
+
+### Для circular strategy
+- Circular с 3+ стратегиями автоматически переключается при сбое, что минимизирует влияние реконфигураций
+- Рекомендуемые параметры: `--lua-desync=circular:fails=3:maxtime=60` — даёт ТСПУ время на стабилизацию перед переключением

package/knowledge/tspu/two-stage-blocking.md

@@ -1,13 +1,15 @@
 ---
 title: TSPU Two-Stage Blocking Process
 tags: tspu, blocking, two-stage, spfs, csu, protocol lists, timing
-source: github/DanielLavrushin/tspu-docs
+source: github/DanielLavrushin/tspu-docs, community
 created: 2026-03-25
-updated: 2026-03-28
+updated: 2026-03-29
 ---
 
 # Двухстадийная блокировка ТСПУ
 
+**Примечание:** Описание двухстадийного процесса основано на утёкших документах и community-анализе (github/DanielLavrushin/tspu-docs). Академические исследования (IMC 2022) описывают ТСПУ как единую систему и не разделяют на тип А/Б. Внутренняя архитектура не противоречит внешним наблюдениям, но не верифицирована независимо.
+
 ТСПУ не блокирует протоколы мгновенно. Процесс блокировки состоит из двух стадий с задержкой 5-15 минут.
 
 ## Стадия 1: Распознавание (ТСПУ тип А)

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "zapret2-mcp",
-  "version": "0.7.1",
+  "version": "0.7.3",
   "description": "MCP knowledge server for zapret2 DPI bypass tool and blockcheckw strategy scanner",
   "license": "MIT",
   "author": "Stanislav Zemlyakov",