zapret2-mcp 0.7.4 → 0.7.5

package/CHANGELOG.md

@@ -1,5 +1,20 @@
 # Changelog
 
+## [0.7.5](https://github.com/rcd27/zapret2-mcp/compare/v0.7.4...v0.7.5) (2026-04-01)
+
+
+### Bug Fixes
+
+* **blockcheckw:** правки с ссылкой на источник ([bed1603](https://github.com/rcd27/zapret2-mcp/commit/bed160349e392eb17a0d8e1ce50d01009794af09))
+* **dpi-types:** корректный lua-синтаксис, ipfrag2 заменён на multidisorder в качестве рекомендации, удалён несуществующий параметр ([b2f7921](https://github.com/rcd27/zapret2-mcp/commit/b2f79214485db04b4c5f5c5cbcfcd1b5574cbb2d))
+* **find-strategy:** убраны рефернсы к V1 стратегиям ([fcf7325](https://github.com/rcd27/zapret2-mcp/commit/fcf73253c4f8193b31cd8e74c57cd4c858548f01))
+* **http-specific:** убраны галлюцинации и ошибки нэйминга ([dbb0720](https://github.com/rcd27/zapret2-mcp/commit/dbb0720f7e7e06bd6eb3eeaba39f36dfe524e835))
+* **nfqws2-options:** выпилены ссылки на nfqws, добавлены fooling параметры и payload types ([7501b75](https://github.com/rcd27/zapret2-mcp/commit/7501b75fe1bbd4065fe4c9780fc400c66e53dea7))
+* **setup:** DoH/DoT в качестве prereq, остальные тревоания к системе ([4776237](https://github.com/rcd27/zapret2-mcp/commit/477623779c7d372213d57dbfe522ec8e06912fb5))
+* **tcp-segmentation:** убран несуществующий параметр, правки по claims ([7c1c945](https://github.com/rcd27/zapret2-mcp/commit/7c1c94548e757897f0205998a4e7d59f4df7121f))
+* **tizen:** правки насчёт отсутствия альтернатив YouTube на Tizen ([6513205](https://github.com/rcd27/zapret2-mcp/commit/6513205b0323a1c7ce8d8e21e69ff5ea3c04d1d7))
+* **zapret2-config:** мелкие правки по конфигу zapret2 ([d40c4cf](https://github.com/rcd27/zapret2-mcp/commit/d40c4cf5faf8debe7fc429378af60f2a43dae9e1))
+
 ## [0.7.4](https://github.com/rcd27/zapret2-mcp/compare/v0.7.3...v0.7.4) (2026-03-30)
 
 

package/knowledge/blockcheckw/commands.md

@@ -4,7 +4,7 @@ blockcheckw-version: v0.8.3
 tags: blockcheckw, scan, check, universal, status, benchmark, commands
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # Команды blockcheckw
@@ -18,7 +18,7 @@ blockcheckw -w 256 scan -d rutracker.org [-p tls12] [--top 10] [--timeout 300]
 ```
 
 Параметры:
-- `-w N` — количество воркеров (по умолчанию определяется benchmark)
+- `-w N` — количество воркеров (по умолчанию 8)
 - `-d <domain>` — целевой домен
 - `-p <protocol>` — протокол: `http`, `tls12`, `tls13` (по умолчанию все)
 - `--top N` — показать топ-N результатов
@@ -37,7 +37,7 @@ blockcheckw check --from-file report_vanilla.txt -d rutracker.org [--take 10] [-
 
 Параметры:
 - `--from-file <file>` — файл с результатами scan (vanilla или JSON)
-- `--take N` — проверить топ-N стратегий
+- `--take N` — остановиться после нахождения N верифицированных стратегий на каждый протокол (0 = проверить все)
 - `--passes N` — количество проходов (по умолчанию 3)
 
 Логика:
@@ -57,7 +57,7 @@ blockcheckw -w 512 universal --domain-list blocked.txt --sample 5 [-p tls12]
 - `--domain-list <file>` — файл со списком доменов
 - `--sample N` — выборка из списка для тестирования
 
-Вывод: стратегии отсортированы по coverage (убывание), затем по simplicity (возрастание).
+Вывод: стратегии отсортированы по coverage (убывание).
 
 ## status — проверка доступности доменов
 
@@ -73,7 +73,7 @@ blockcheckw status --domain-list blocked.txt [--timeout 6]
 - **IP blocked** — TCP не работает → нужен VPN
 - **DNS failed** — проблема с DNS-резолвером
 
-Скорость: 1000+ доменов за ~30 секунд.
+Использует до 256 параллельных проб. На практике проверяет 1000+ доменов за ~30 секунд.
 
 ## benchmark — оптимизация количества воркеров
 
@@ -81,9 +81,9 @@ blockcheckw status --domain-list blocked.txt [--timeout 6]
 blockcheckw benchmark [-t 30] [-M 64] [-d rutracker.org] [-p tls12]
 ```
 
-Тестирует 8→16→32→64→... воркеров, измеряет throughput, определяет оптимальное количество для текущего железа.
+Тестирует воркеров степенями двойки (начиная от системного минимума, зависящего от числа ядер CPU), измеряет throughput и определяет оптимальное количество для текущего железа.
 
-На роутерах с 256MB RAM оптимально ~64 воркеров.
+OOM-guard: ~3MB на воркер. На роутерах с 256MB RAM это ограничивает максимум до ~60 воркеров.
 
 ## Пайплайн: scan → check
 

package/knowledge/blockcheckw/overview.md

@@ -4,7 +4,7 @@ blockcheckw-version: v0.8.3
 tags: blockcheckw, scanner, strategy discovery, parallel, rust
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # blockcheckw — быстрый сканер стратегий
@@ -15,7 +15,7 @@ blockcheckw (https://github.com/rcd27/blockcheckw) — высокопроизв
 
 - **Скорость**: 100-150x быстрее blockcheck2.sh (~2 мин vs ~90 мин)
 - **Throughput**: ~150 стратегий/сек vs ~1 стратегия/сек
-- **Параллелизм**: до 1024 воркеров через nftables vmap dispatch (O(1) lookup)
+- **Параллелизм**: до 2048 воркеров через nftables vmap dispatch (O(1) lookup)
 - **TLS fingerprint**: rustls вместо curl/OpenSSL
 - **9 архитектур**: x86_64, x86, arm64, arm, mips, mipsel, mips64, ppc, riscv64
 - **16KB DPI detection**: обнаруживает DPI, который обрезает соединение после ~16KB данных

package/knowledge/config/nfqws2-options.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: nfqws2, cli, options, parameters, reference
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # Справочник параметров nfqws2
@@ -28,15 +28,17 @@ updated: 2026-03-25
 ```
 
 Стандартные Lua-библиотеки:
-- `zapret-lib.lua` — вспомогательные функции
+- `zapret-lib.lua` — вспомогательные функции, базовые fooling-операции
 - `zapret-antidpi.lua` — библиотека стратегий desync
 - `zapret-auto.lua` — автоматическое определение стратегий
+- `zapret-obfs.lua` — обфускация протоколов
+- `zapret-pcap.lua` — утилита PCAP-захвата
 
 ## Connection Tracking
 
 ```
---ctrack-timeouts=S:E:F:U          # Таймауты conntrack (SYN:EST:FIN:UDP)
---ctrack-disable                   # Отключить conntrack
+--ctrack-timeouts=S:E:F[:U]        # Таймауты conntrack (SYN:EST:FIN[:UDP]), UDP опционален
+--ctrack-disable=[0|1]             # Отключить conntrack (1 или без аргумента = отключить)
 ```
 
 ## Фильтры профиля
@@ -58,18 +60,29 @@ updated: 2026-03-25
 
 ## Типы payload
 
-Для `--payload=`:
-- `http_req`, `http_reply`
-- `tls_client_hello`, `tls_server_hello`
-- `quic_initial`
-- `dns_query`, `dns_response`
-- `empty` (пакеты нулевой длины)
-- `unknown` (нераспознанные)
+Для `--payload=` (полный список из исходного кода):
+
+Специальные: `all`, `known`, `unknown`, `empty`
+
+| Протокол | Payload types |
+|---|---|
+| HTTP | `http_req`, `http_reply` |
+| TLS | `tls_client_hello`, `tls_server_hello` |
+| DTLS | `dtls_client_hello`, `dtls_server_hello` |
+| QUIC | `quic_initial` |
+| DNS | `dns_query`, `dns_response` |
+| WireGuard | `wireguard_initiation`, `wireguard_response`, `wireguard_cookie`, `wireguard_keepalive`, `wireguard_data` |
+| XMPP | `xmpp_stream`, `xmpp_starttls`, `xmpp_proceed`, `xmpp_features` |
+| Telegram | `mtproto_initial` |
+| BitTorrent | `bt_handshake`, `utp_bt_handshake` |
+| P2P/Other | `dht`, `discord_ip_discovery`, `stun` |
+| IP/ICMP | `ipv4`, `ipv6`, `icmp` |
 
 ## Списки доменов и IP
 
 ```
 --hostlist=<file>                  # Белый список доменов
+--hostlist-domains=a.com,b.com     # Inline-список доменов (без файла)
 --hostlist-exclude=<file>          # Чёрный список доменов
 --hostlist-auto=<file>             # Автозаполняемый список (по детекции блокировки)
 --ipset=<file>                     # Белый список IP
@@ -79,7 +92,7 @@ updated: 2026-03-25
 ## Binary данные (blob)
 
 ```
---blob=<name>:0xHEX|@<filename>   # Загрузка бинарных данных для стратегий
+--blob=<name>:[+ofs]@<filename>|0xHEX  # Загрузка бинарных данных (+ofs = смещение в файле)
 ```
 
 Предопределённые blob:
@@ -105,45 +118,64 @@ updated: 2026-03-25
 - `a` = всегда
 - `x` = никогда
 
-## Desync-параметры (legacy формат)
+## Desync-параметры
 
-```
---dpi-desync=<strategy>            # Стратегия: split2, disorder2, fake, rst, и др.
---dpi-desync-split-pos=<pos>       # Позиция разбиения
---dpi-desync-split-seqovl=<N>      # TCP sequence overlap
---dpi-desync-fooling=<methods>     # Fooling: md5sig, badsum, ip_autottl, и др.
---dpi-desync-fake-tls=<file>       # Кастомный fake TLS payload
---dpi-desync-fake-http=<file>      # Кастомный fake HTTP payload
---dpi-desync-fake-quic=<file>      # Кастомный fake QUIC payload
---dpi-desync-circular-strategy=N   # Ротация стратегий
---dpi-desync-udplen-increment=N    # UDP padding
-```
+> Параметры `--dpi-desync-*` (legacy) существуют только в nfqws **v1**. В nfqws2 все desync-стратегии задаются через `--lua-desync`.
 
-## Lua-desync формат (nfqws2 v0.9+)
+### Lua-desync формат
 
-Новый формат через `--lua-desync=`:
 ```
 --lua-desync=<action>[:param1=val1[:param2=val2]]
 ```
 
-Доступные action:
-- `fake` — отправка fake-пакета
-- `multisplit` — разбиение в нескольких позициях
-- `multidisorder` — разбиение в обратном порядке
-- `tcpseg` — TCP-сегментация
-- `pktmod` — модификация пакета in-place
-- `send` — дублирование пакета с модификациями
-- `drop` — сброс пакета
-- `http_hostcase` — изменение регистра Host:
-- `http_domcase` — рандомизация регистра домена
-- `wssize` — TCP window size manipulation
-- `oob` — out-of-band data
-
-Общие fooling-параметры (для всех action):
-- `ip_ttl=<N>` — IP TTL
-- `ip6_ttl=<N>` — IPv6 hop limit
-- `tcp_seq=<offset>` — смещение TCP sequence
-- `tcp_ack=<offset>` — смещение TCP ACK
-- `tcp_md5[=hex]` — MD5 signature
-- `badsum` — испорченная L4 checksum
-- `ip_id=rnd` — случайный IP ID
+Доступные action (из `zapret-antidpi.lua`):
+
+| Action | Описание |
+|---|---|
+| `fake` | Отправка fake-пакета |
+| `rst` | Fake RST-пакет |
+| `multisplit` | Разбиение в нескольких позициях |
+| `multidisorder` | Разбиение в обратном порядке |
+| `fakedsplit` | Разбиение с вставкой fake между частями |
+| `fakeddisorder` | fakedsplit в обратном порядке |
+| `hostfakesplit` | Fake-разбиение по hostname (HTTP + TLS) |
+| `tcpseg` | TCP-сегментация |
+| `oob` | Out-of-band data |
+| `udplen` | Модификация длины UDP |
+| `syndata` | SYN с данными |
+| `http_hostcase` | Изменение регистра Host: → host: |
+| `http_domcase` | Чередование регистра домена |
+| `http_methodeol` | Вставка \r\n перед HTTP-методом |
+| `wssize` | TCP window size на всех пакетах |
+| `wsize` | TCP window size на SYN-ACK |
+| `pktmod` | Модификация пакета in-place |
+| `send` | Дублирование пакета с модификациями |
+| `drop` | Сброс пакета |
+
+Вспомогательные (из `zapret-lib.lua`): `pass`, `pktdebug`, `argdebug`, `posdebug`, `luaexec`
+
+### Общие fooling-параметры (для action)
+
+| Параметр | Описание |
+|---|---|
+| `ip_ttl=<N>` | IPv4 TTL |
+| `ip_autottl=delta,min-max` | Автоопределение TTL до DPI |
+| `ip6_ttl=<N>` | IPv6 hop limit |
+| `ip6_autottl=delta,min-max` | Автоопределение IPv6 TTL |
+| `tcp_seq=<offset>` | Смещение TCP sequence |
+| `tcp_ack=<offset>` | Смещение TCP ACK |
+| `tcp_md5[=hex]` | MD5 signature (TCP option) |
+| `tcp_ts=<N>` | Смещение TCP timestamp |
+| `tcp_ts_up` | Переместить timestamp option наверх |
+| `tcp_flags_set=<list>` | Установить TCP-флаги |
+| `tcp_flags_unset=<list>` | Снять TCP-флаги |
+| `tcp_nop_del` | Удалить NOP TCP options |
+| `badsum` | Испорченная L4 checksum |
+| `ip_id=seq\|rnd\|zero\|none` | Политика IP ID |
+| `ip6_hopbyhop[=hex]` | IPv6 hop-by-hop extension header |
+| `ip6_hopbyhop2[=hex]` | Второй hop-by-hop header |
+| `ip6_destopt[=hex]` | IPv6 destination options |
+| `ip6_destopt2[=hex]` | Второй destopt header |
+| `ip6_routing[=hex]` | IPv6 routing header |
+| `ip6_ah[=hex]` | IPv6 authentication header |
+| `fool=<func>` | Пользовательская функция fooling |

package/knowledge/config/zapret2-config.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: config, configuration, parameters, setup
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # Конфигурационный файл zapret2
@@ -15,17 +15,20 @@ updated: 2026-03-25
 ## Основные параметры
 
 ### Включение/выключение
+
 ```bash
-NFQWS2_ENABLE=1                    # Включить nfqws2 (0 = выключен)
+NFQWS2_ENABLE=0                    # Включить nfqws2 (0 = выключен, 1 = включён). По умолчанию выключен
 ```
 
 ### Порты
+
 ```bash
 NFQWS2_PORTS_TCP=80,443            # TCP-порты для перехвата
 NFQWS2_PORTS_UDP=443               # UDP-порты для перехвата
 ```
 
 ### Лимиты пакетов (connbytes)
+
 ```bash
 NFQWS2_TCP_PKT_OUT=20             # Макс исходящих TCP-пакетов
 NFQWS2_TCP_PKT_IN=10              # Макс входящих TCP-пакетов
@@ -34,6 +37,7 @@ NFQWS2_UDP_PKT_IN=3               # Макс входящих UDP-пакетов
 ```
 
 ### Стратегия bypass
+
 ```bash
 NFQWS2_OPT="..."                   # Основные параметры nfqws2
 ```
@@ -41,21 +45,25 @@ NFQWS2_OPT="..."                   # Основные параметры nfqws2
 Это главный параметр — содержит стратегии desync. Может быть multi-profile через `--new`.
 
 ### Метка desync
+
 ```bash
 DESYNC_MARK=0x40000000             # NFT mark для предотвращения петель
 ```
 
 ### Фильтрация
+
 ```bash
 MODE_FILTER=none|ipset|hostlist|autohostlist
 ```
 
 ### IPv6
+
 ```bash
 DISABLE_IPV6=1                     # Отключить IPv6 (по умолчанию включён)
 ```
 
 ### Прочее
+
 ```bash
 SET_MAXELEM=522288                 # Макс элементов ipset
 MDIG_THREADS=30                    # Потоки параллельного DNS-резолвинга
@@ -91,14 +99,14 @@ DISABLE_IPV6=0
 
 ## Файловая структура zapret2
 
-| Путь | Назначение |
-|------|-----------|
-| `/opt/zapret2/config` | Основной конфиг |
-| `/opt/zapret2/config.default` | Шаблон конфига |
-| `/opt/zapret2/nfq2/nfqws2` | Бинарник демона |
-| `/opt/zapret2/lua/zapret-lib.lua` | Lua-библиотека |
-| `/opt/zapret2/lua/zapret-antidpi.lua` | Стратегии desync |
-| `/opt/zapret2/lua/zapret-auto.lua` | Авто-определение |
-| `/opt/zapret2/ipset/` | Списки IP/доменов |
-| `/opt/zapret2/init.d/` | Init-скрипты |
-| `/opt/zapret2/blockcheck2.sh` | Диагностика (legacy) |
+| Путь                                  | Назначение                             |
+|---------------------------------------|----------------------------------------|
+| `/opt/zapret2/config`                 | Основной конфиг                        |
+| `/opt/zapret2/config.default`         | Шаблон конфига                         |
+| `/opt/zapret2/nfq2/nfqws2`            | Бинарник демона                        |
+| `/opt/zapret2/lua/zapret-lib.lua`     | Lua-библиотека                         |
+| `/opt/zapret2/lua/zapret-antidpi.lua` | Стратегии desync                       |
+| `/opt/zapret2/lua/zapret-auto.lua`    | Авто-определение                       |
+| `/opt/zapret2/ipset/`                 | Списки IP/доменов                      |
+| `/opt/zapret2/init.d/`                | Init-скрипты                           |
+| `/opt/zapret2/blockcheck2.sh`         | Диагностика (скрипт подбора стратегий) |

package/knowledge/strategies/dpi-types.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: dpi, domain-based, stateful, stateless, recommendations
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # Типы DPI и рекомендуемые подходы
@@ -30,10 +30,11 @@ DPI собирает TCP-сессию и анализирует полный п
 ```
 --dpi-desync=fake,split2 --dpi-desync-fooling=md5sig
 ```
-Или RST-инъекция:
+Или RST-инъекция (zapret2 lua-синтаксис):
 ```
---dpi-desync=rst --dpi-desync-fooling=ip_autottl
+--lua-desync=rst:ip_autottl
 ```
+> `ip_autottl` — lua-параметр, НЕ значение `--dpi-desync-fooling`. В legacy-синтаксисе v1 используется отдельный флаг `--dpi-desync-autottl`.
 
 ## Stateless DPI (инспектирует отдельные пакеты)
 
@@ -41,20 +42,18 @@ DPI смотрит на каждый пакет независимо, не со
 
 Рекомендации:
 ```
---dpi-desync=ipfrag2
-```
-Или:
-```
---dpi-desync=disorder2
+--lua-desync=multidisorder:pos=1,midsld
 ```
 
+> `ipfrag2` (IP-фрагментация) формально существует, но TCP-фрагменты почти всегда фильтруются сетевым оборудованием. Для UDP/QUIC надёжность ~50-75%. Предпочтительнее `multidisorder`.
+
 ## HTTP-only DPI
 
 DPI блокирует только HTTP (порт 80), не трогает HTTPS.
 
-Рекомендации:
+Рекомендации (zapret2 lua-синтаксис):
 ```
---hostcase --dpi-desync=split2 --dpi-desync-split-http-req=method+host
+--lua-desync=http_hostcase --lua-desync=multisplit:pos=method,host
 ```
 
 ## Как определить тип DPI

package/knowledge/strategies/http-specific.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: hostcase, domcase, methodeol, http, host header
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # HTTP-специфичные стратегии
@@ -17,18 +17,19 @@ updated: 2026-03-25
 ```
 --hostcase
 ```
-Меняет регистр заголовка Host: (например, `Host:` → `hOsT:`). DPI ищет точное совпадение `Host:` и пропускает изменённый заголовок. Сервер обрабатывает header case-insensitively.
+Меняет регистр заголовка `Host:` → `host:` (lowercase). DPI ищет точное совпадение `Host:` и пропускает изменённый заголовок. Сервер обрабатывает header case-insensitively (RFC 7230).
 
 Lua-формат:
 ```
---lua-desync=http_hostcase:spell=hOsT
+--lua-desync=http_hostcase
 ```
+По умолчанию `spell=host` (lowercase). Можно задать произвольное написание из 4 символов: `--lua-desync=http_hostcase:spell=hOsT`.
 
 ### domcase
 ```
 --domcase
 ```
-Рандомизирует регистр доменного имени в Host-заголовке. DPI не может сопоставить домен.
+Чередует регистр символов доменного имени в Host-заголовке (напр. `example.com` → `ExAmPlE.cOm`). DPI не может сопоставить домен. Чередование детерминированное — нечётные позиции uppercase, чётные lowercase.
 
 Lua-формат:
 ```
@@ -39,15 +40,15 @@ Lua-формат:
 ```
 --methodeol
 ```
-Добавляет дополнительный перевод строки после HTTP-метода. Ломает парсинг DPI.
+Вставляет `\r\n` **перед** HTTP-методом (т.е. в начало запроса), сдвигая строку запроса. Для сохранения размера пакета крадёт 2 байта из значения User-Agent. Ломает парсинг DPI, который ожидает метод в начале пакета.
 
 ## Когда использовать
 
 HTTP — самый лёгкий протокол для bypass. Часто `--hostcase` в одиночку достаточно.
 
-Комбинация для надёжного HTTP bypass:
+Комбинация для надёжного HTTP bypass (zapret2 lua-синтаксис):
 ```
---hostcase --dpi-desync=split2 --dpi-desync-split-http-req=method+host
+--lua-desync=http_hostcase --lua-desync=multisplit:pos=method,host
 ```
 
 ## Ограничения

package/knowledge/strategies/tcp-segmentation.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: split2, disorder2, multisplit, multidisorder, fakedsplit, fakeddisorder, hostfakesplit, segmentation
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # TCP Segmentation (разбиение исходящих пакетов)
@@ -13,23 +13,22 @@ updated: 2026-03-25
 
 ## Базовые стратегии
 
-### split2 / disorder2
-Самые простые и надёжные. Разбивают TCP-сегмент в указанной позиции.
-- **split2** — отправляет фрагменты по порядку
-- **disorder2** — отправляет фрагменты в обратном порядке (сначала второй, потом первый)
+### multisplit / multidisorder (ранее split2 / disorder2)
+Самые простые и надёжные. Разбивают TCP-сегмент в указанных позициях.
+- **multisplit** — отправляет фрагменты по порядку
+- **multidisorder** — отправляет фрагменты в обратном порядке (от последнего к первому)
 
-disorder2 эффективнее против stateless DPI, который обрабатывает только первый пакет.
+> В zapret v1 эти стратегии назывались `split2` и `disorder2`. С версии v69 они стали алиасами для `multisplit`/`multidisorder`. В zapret2 используются только имена `multisplit`/`multidisorder`.
 
-Не используют fake-пакеты — нет проблем с fooling.
+multidisorder эффективнее против stateless DPI, который обрабатывает только первый пакет.
 
-### multisplit / multidisorder
-Разбиение в нескольких позициях. Для DPI, который умеет пересобирать single-split сегменты.
+Не используют fake-пакеты — нет проблем с fooling.
 
 ### fakedsplit / fakeddisorder
 Разбиение с вставкой fake-сегмента между реальными частями. Fake сбивает DPI-реассемблер. Требует fooling для корректной работы.
 
 ### hostfakesplit
-Разбиение только на позиции Host-заголовка в HTTP. Узкоспециализированная стратегия.
+Разбиение на позиции hostname в TCP-протоколах, содержащих имя хоста: **HTTP (Host-заголовок) и TLS (SNI в ClientHello)**. Вставляет fake-сегменты между частями hostname, затрудняя DPI различение реального и фейкового имени. Требует fooling.
 
 ## Ключевые параметры
 
@@ -37,11 +36,16 @@ disorder2 эффективнее против stateless DPI, который об
 ```
 --dpi-desync-split-pos=N
 ```
-Специальные значения:
+Специальные значения (маркеры позиций):
+- `method` — начало HTTP-метода (GET, POST и т.д.)
 - `host` — начало Host/SNI заголовка
 - `endhost` — конец Host/SNI заголовка
-- `midsld` — середина домена второго уровня (SLD) в SNI
+- `sld` — начало домена второго уровня (SLD)
+- `endsld` — конец SLD
+- `midsld` — середина SLD
+- `sniext` — начало SNI extension в TLS ClientHello
 - Числовое значение — смещение в байтах
+- Поддерживается арифметика: `host+1`, `midsld-2`, `sniext+1`
 
 ### Overlap TCP-последовательности
 ```
@@ -49,12 +53,6 @@ disorder2 эффективнее против stateless DPI, который об
 ```
 Перекрытие TCP sequence number. Сбивает DPI, который отслеживает последовательности. Требует `--dpi-desync-split-pos` > N.
 
-### Разбиение HTTP-запроса
-```
---dpi-desync-split-http-req=method+host
-```
-Разбивает HTTP-запрос на границах method и host.
-
 ## Lua-формат (nfqws2 v0.9+)
 
 В новых версиях zapret2 стратегии задаются через Lua:
@@ -70,14 +68,14 @@ disorder2 эффективнее против stateless DPI, который об
 
 ## Примеры
 
-Простейший bypass для TLS 1.3:
+Простейший bypass для TLS 1.3 (zapret2 lua-синтаксис):
 ```
---dpi-desync=split2 --dpi-desync-split-pos=host
+--lua-desync=multisplit:pos=host
 ```
 
-Для stateful DPI:
+Для stateful DPI (с overlap):
 ```
---dpi-desync=split2 --dpi-desync-split-pos=host --dpi-desync-split-seqovl=1
+--lua-desync=multisplit:pos=host:seqovl=1
 ```
 
 Multi-split для продвинутого DPI:
@@ -85,9 +83,14 @@ Multi-split для продвинутого DPI:
 --lua-desync=multisplit:pos=1,midsld
 ```
 
+Обратный порядок для stateless DPI:
+```
+--lua-desync=multidisorder:pos=1,midsld:seqovl=2
+```
+
 ## Когда использовать
 
-- **split2** — первое, что стоит попробовать. Простейшая и самая надёжная стратегия.
-- **disorder2** — если split2 не работает. Полезна против stateless DPI.
-- **multisplit** — если DPI умеет пересобирать single-split.
+- **multisplit** — первое, что стоит попробовать. Простейшая и самая надёжная стратегия.
+- **multidisorder** — если multisplit не работает. Полезна против stateless DPI.
+- **multisplit с несколькими pos** — если DPI умеет пересобирать single-split (напр. `pos=1,midsld`).
 - **fakedsplit** — если segmentation без fakes не помогает. Требует правильный fooling.

package/knowledge/troubleshooting/smart-tv-youtube.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: troubleshooting, smart-tv, youtube, tls, samsung, tizen, lg, webos, vidaa, platforms
 source: community
 created: 2026-03-28
-updated: 2026-03-28
+updated: 2026-04-01
 ---
 
 # Smart TV и YouTube: почему стратегия работает на ПК, но не на телевизоре
@@ -62,7 +62,7 @@ VIDAA, WebOS и Tizen агрессивно кешируют приложение
 - При открытии YouTube приложение сначала обращается к **серверам авторизации Samsung**, затем к Google/YouTube
 - Эти промежуточные запросы тоже могут попадать под DPI
 - На ТВ невозможно установить диагностические инструменты
-- Нельзя заменить приложение YouTube на альтернативное (нет SmartTube для Tizen)
+- SmartTube (Android-only) не работает на Tizen, но есть **TizenTube** — модуль для TizenBrew, который блокирует рекламу, поддерживает SponsorBlock и DeArrow. Установка через TizenBrew требует включения Developer Mode и USB-флешки. Подробнее: https://github.com/reisxd/TizenTube
 
 ### LG WebOS
 
@@ -126,9 +126,17 @@ NFQWS2_OPT="
 
 Первая секция — агрессивная стратегия для YouTube (покрывает и TLS 1.2, и 1.3). Вторая — более мягкая для остальных сайтов.
 
-### 4. Радикальное решение: Android TV приставка
+### 4. TizenTube для Samsung Tizen
 
-Если ничего не помогает на Samsung Tizen — наиболее надёжное решение:
+На Samsung Tizen есть альтернатива стоковому YouTube — **TizenTube** (модуль для TizenBrew):
+- Блокировка рекламы, SponsorBlock, DeArrow
+- Установка: включить Developer Mode на ТВ → установить TizenBrew через USB → TizenTube ставится как модуль
+- Из минусов: более сложный процесс установки, иногда нужно запускать TizenBrew перед открытием YouTube
+- При использовании TizenTube DPI bypass стратегии zapret2 работают нормально — трафик идёт тот же самый
+
+### 5. Радикальное решение: Android TV приставка
+
+Если ничего не помогает на Samsung Tizen (и TizenTube не подходит) — наиболее надёжное решение:
 
 1. Купить Android TV приставку (Xiaomi Mi Box, любая на Android TV)
 2. Установить SmartTube (альтернативный клиент YouTube)
@@ -143,5 +151,5 @@ NFQWS2_OPT="
 3. [ ] Запустить blockcheck2, смотреть результаты `curl_test_https_tls12`
 4. [ ] Попробовать агрессивную multidisorder стратегию (см. выше)
 5. [ ] Выдернуть ТВ из розетки перед каждой проверкой
-6. [ ] Если Samsung Tizen — рассмотреть Android TV приставку как альтернативу
+6. [ ] Если Samsung Tizen — попробовать TizenTube (ad-free + SponsorBlock) или рассмотреть Android TV приставку
 7. [ ] Проверить что Private DNS на устройствах выключен (может мешать на Android)

package/knowledge/workflows/find-strategy.md

@@ -5,7 +5,7 @@ blockcheckw-version: v0.8.3
 tags: strategy, blockcheckw, scan, check, bypass, workflow
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # Поиск рабочей стратегии DPI bypass
@@ -51,24 +51,27 @@ blockcheckw check --from-file scan_results.txt -d rutracker.org --take 10 --pass
 ## Выбор стратегии: критерии (в порядке приоритета)
 
 1. **Стабильность** — избегать стратегий с хрупкими TTL-трюками (фиксированный ip_ttl). Предпочитать ip_autottl или non-TTL fooling.
-2. **Простота** — меньше параметров = надёжнее. Предпочитать `split2` перед сложными multi-strategy цепочками.
+2. **Простота** — меньше параметров = надёжнее. Предпочитать `multisplit` перед сложными multi-strategy цепочками.
 3. **Покрытие протоколов** — если домен использует HTTPS и HTTP, стратегия должна покрывать оба.
 4. **TLS-версия** — TLS 1.3 легче (меньше метаданных). TLS 1.2 может требовать обработку server response.
 
 ## Приоритет стратегий
 
-1. `split2` или `disorder2` — TCP segmentation без fakes, самый простой вариант
-2. `fake,split2` с `md5sig` или `badsum` fooling — надёжное удаление fakes
-3. `multisplit` / `multidisorder` — для DPI, который пересобирает split-сегменты
-4. Избегать стратегий, основанных только на `ip_ttl` — TTL зависит от маршрута
+1. `multisplit` или `multidisorder` — TCP segmentation без fakes, самый простой вариант
+2. `fakedsplit` / `fakeddisorder` с `tcp_md5` или `badsum` fooling — надёжное удаление fakes
+3. `multisplit` / `multidisorder` с несколькими `pos` — для DPI, который пересобирает single-split
+4. Избегать стратегий, основанных только на `ip_ttl` — TTL зависит от маршрута, предпочитать `ip_autottl`
 
 ## Resilience
 
-Для устойчивости к обновлениям DPI используй circular strategy:
+Для устойчивости к обновлениям DPI используй circular orchestrator из `zapret-auto.lua`:
 ```
---dpi-desync-circular-strategy=3
+--lua-desync=circular
+--lua-desync=<стратегия1>:strategy=1
+--lua-desync=<стратегия2>:strategy=2
+--lua-desync=<стратегия3>:strategy=3
 ```
-nfqws2 автоматически переключается между стратегиями при сбое.
+nfqws2 циклически переключается между пронумерованными стратегиями при обнаружении сбоев (порог задаётся через `fails=N`).
 
 ## Конструирование NFQWS2_OPT из результатов
 

package/knowledge/workflows/setup.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: install, setup, workflow, router, desktop
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-25
+updated: 2026-04-01
 ---
 
 # Установка zapret2
@@ -46,66 +46,45 @@ updated: 2026-03-25
 
 Те же шаги 1-5, плюс:
 
-6. Настроить DNS (один из методов):
+1. Установить systemd unit (поставляется с репо):
    ```bash
-   # Через systemd-resolved
-   mkdir -p /etc/systemd/resolved.conf.d/
-   cat > /etc/systemd/resolved.conf.d/dns.conf << EOF
-   [Resolve]
-   DNS=1.1.1.1 8.8.8.8
-   EOF
-   systemctl restart systemd-resolved
-
-   # Или через resolv.conf
-   echo "nameserver 1.1.1.1" > /etc/resolv.conf
-   ```
-
-7. Создать systemd unit:
-   ```bash
-   cat > /etc/systemd/system/zapret2.service << EOF
-   [Unit]
-   Description=zapret2 DPI bypass
-   After=network-online.target
-   Wants=network-online.target
-
-   [Service]
-   Type=forking
-   ExecStart=/opt/zapret2/init.d/sysv/zapret2 start
-   ExecStop=/opt/zapret2/init.d/sysv/zapret2 stop
-   RemainAfterExit=yes
-
-   [Install]
-   WantedBy=multi-user.target
-   EOF
+   cp /opt/zapret2/init.d/systemd/zapret2.service /etc/systemd/system/
    systemctl daemon-reload
    systemctl enable zapret2
    ```
 
-8. Включить и запустить (шаги 7-9 из универсальной установки)
+2. Включить и запустить (шаги 7-9 из универсальной установки)
+
+> DNS-конфигурация не является частью установки zapret2. Если у провайдера DNS-перехват — рекомендуется настроить
+> DoH/DoT отдельно.
 
 ## Предварительные требования
 
 ### Необходимые инструменты
-- `nft` или `iptables` — управление firewall
-- `curl` — скачивание бинарников
-- `git` — клонирование репозитория
-- `base64`, `sed`, `awk` — обработка конфигов
-- `modprobe` — загрузка модулей ядра
+
+- `nft` (nftables) или `iptables` + `ip6tables` + `ipset` — управление firewall
+- `curl` — скачивание бинарников и списков
 
 ### Модуль ядра NFQUEUE
+
+Модуль `nfnetlink_queue` необходим для работы nfqws2. Обычно подгружается автоматически при старте. Если нет:
+
 ```bash
 modprobe nfnetlink_queue
 ```
-Без NFQUEUE nfqws2 не может перехватывать пакеты.
 
 ### Архитектуры
-Поддерживаются: x86_64, x86, arm64, arm, mips, mipsel, mips64, ppc, riscv64
+
+Поддерживаются: x86_64, x86, arm64, arm, mips64, mipssf, mipselsf, ppc, riscv64, lexra
 
 ## Управление сервисом
 
-| Init system | Команда |
-|-------------|---------|
-| sysv | `/opt/zapret2/init.d/sysv/zapret2 start\|stop\|restart` |
-| systemd | `systemctl start\|stop\|restart zapret2` |
-| OpenWrt | `/etc/init.d/zapret2 start\|stop\|restart` |
-| openrc | `/opt/zapret2/init.d/openrc/zapret2 start\|stop\|restart` |
+| Init system | Команда                                                   |
+|-------------|-----------------------------------------------------------|
+| sysv        | `/opt/zapret2/init.d/sysv/zapret2 start\|stop\|restart`   |
+| systemd     | `systemctl start\|stop\|restart zapret2`                  |
+| OpenWrt     | `/etc/init.d/zapret2 start\|stop\|restart`                |
+| openrc      | `/opt/zapret2/init.d/openrc/zapret2 start\|stop\|restart` |
+| runit       | `/opt/zapret2/init.d/runit/zapret2`                       |
+| s6          | `/opt/zapret2/init.d/s6/zapret2`                          |
+| pfsense     | `/opt/zapret2/init.d/pfsense/zapret2`                     |

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "zapret2-mcp",
-  "version": "0.7.4",
+  "version": "0.7.5",
   "description": "MCP knowledge server for zapret2 DPI bypass tool and blockcheckw strategy scanner",
   "license": "MIT",
   "author": "Stanislav Zemlyakov",