zapret2-mcp 0.7.5 → 0.7.9

package/CHANGELOG.md

@@ -1,5 +1,33 @@
 # Changelog
 
+## [0.7.9](https://github.com/rcd27/zapret2-mcp/compare/v0.7.8...v0.7.9) (2026-04-02)
+
+
+### Bug Fixes
+
+* **ci-cd:** [@latest](https://github.com/latest) -> [@11](https://github.com/11) в npm ([57347de](https://github.com/rcd27/zapret2-mcp/commit/57347de840f76bdd2578d414961a2e1bc86c5328))
+
+## [0.7.8](https://github.com/rcd27/zapret2-mcp/compare/v0.7.7...v0.7.8) (2026-04-02)
+
+
+### Bug Fixes
+
+* **ci-cd:** вернул registry ([db7f031](https://github.com/rcd27/zapret2-mcp/commit/db7f031f1c694f8c5c9549de915938921be53e59))
+
+## [0.7.7](https://github.com/rcd27/zapret2-mcp/compare/v0.7.6...v0.7.7) (2026-04-02)
+
+
+### Bug Fixes
+
+* **ci-cd:** убран npm install, чтобы при релизе github-action не валился ([ed2b089](https://github.com/rcd27/zapret2-mcp/commit/ed2b08909d45a264ac08ed3a660a57f8ba54e307))
+
+## [0.7.6](https://github.com/rcd27/zapret2-mcp/compare/v0.7.5...v0.7.6) (2026-04-02)
+
+
+### Bug Fixes
+
+* **multiple:** фикс ряда статей согласно аудиту ([34511e4](https://github.com/rcd27/zapret2-mcp/commit/34511e4157a2e66f0fcf31e5c3c8a2b2858c2fe4))
+
 ## [0.7.5](https://github.com/rcd27/zapret2-mcp/compare/v0.7.4...v0.7.5) (2026-04-01)
 
 

package/knowledge/strategies/community-strategies.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: community, strategies, circular, production, youtube, examples, multidisorder, multisplit, hostfakesplit, syndata, hostfakesplit, seqovl-pattern, googlevideo, three-stream
 source: community
 created: 2026-03-29
-updated: 2026-03-30
+updated: 2026-04-02
 ---
 
 # Community-стратегии (production-примеры)
@@ -23,7 +23,7 @@ updated: 2026-03-30
 ```
 --out-range=-s34228
 --payload=tls_client_hello
---in-range=-s5556 --lua-desync=circular:fails=3:maxtime=60
+--in-range=-s5556 --lua-desync=circular:fails=3:time=60
 --in-range=x
 --lua-desync=<action>:strategy=1
 --lua-desync=<action>:strategy=2
@@ -35,7 +35,7 @@ updated: 2026-03-30
 
 - `--out-range=-s34228` — обрабатывать исходящие пакеты в пределах ~25 TCP-пакетов
 - `--in-range=-s5556` — обрабатывать входящие до ~5 TCP-пакетов (для circular-детекции сбоев)
-- `--lua-desync=circular:fails=3:maxtime=60` — переключение стратегии после 3 неудач или 60 секунд
+- `--lua-desync=circular:fails=3:time=60` — переключение стратегии после 3 неудач; счётчик сбрасывается если последний сбой был более 60 секунд назад
 - `--in-range=x` — отключить обработку входящих для desync-действий (только для circular-мониторинга)
 - `:final` — маркер последней стратегии в цепочке circular
 
@@ -46,12 +46,12 @@ updated: 2026-03-30
 ```
 --out-range=-s34228
 --payload=tls_client_hello
---in-range=-s5556 --lua-desync=circular:fails=3:maxtime=60
+--in-range=-s5556 --lua-desync=circular:fails=3:time=60
 --in-range=x
 --lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1:strategy=1
---lua-desync=fake:blob=fake_default_tls:badsum:tls_mod=sni=rzd.ru:repeat=8:strategy=1
+--lua-desync=fake:blob=fake_default_tls:badsum:tls_mod=sni=rzd.ru:repeats=8:strategy=1
 --lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1:strategy=2
---lua-desync=fake:blob=blob_tls_clienthello_www_google_com:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeat=4:strategy=2:final
+--lua-desync=fake:blob=fake_default_tls:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeats=4:strategy=2:final
 ```
 
 Как работает:
@@ -68,7 +68,7 @@ updated: 2026-03-30
 ```
 --out-range=-s34228
 --payload=tls_client_hello
---in-range=-s5556 --lua-desync=circular:fails=3:maxtime=90
+--in-range=-s5556 --lua-desync=circular:fails=3:time=90
 --in-range=x
 --lua-desync=fake:blob=fake_default_tls:tcp_seq=1000000:repeats=1:strategy=1
 --lua-desync=multisplit:pos=2:strategy=1
@@ -91,7 +91,7 @@ updated: 2026-03-30
 ```
 --out-range=-s34228
 --payload=tls_client_hello
---in-range=-s5556 --lua-desync=circular:fails=3:maxtime=60
+--in-range=-s5556 --lua-desync=circular:fails=3:time=60
 --in-range=x
 --lua-desync=fake:blob=fake_default_tls:ip_ttl=2:repeats=1 --payload=empty --out-range=s1<d1 --lua-desync=pktmod:ip_ttl=1:strategy=1
 --lua-desync=fake:blob=fake_default_tls:ip_ttl=3:repeats=1 --payload=empty --out-range=s1<d1 --lua-desync=pktmod:ip_ttl=1:strategy=2
@@ -121,7 +121,7 @@ Circular перебирает TTL от 2 до 8, затем fallback на badsum
 
 ```
 --payload=tls_client_hello
---lua-desync=fake:blob=blob_tls_clienthello_escapefromtarkov_com:badsum:tcp_ts=-600000:repeats=6
+--lua-desync=fake:blob=fake_default_tls:badsum:tcp_ts=-600000:repeats=6
 --lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1
 ```
 
@@ -153,7 +153,7 @@ Community-практика: YouTube требует **трёх отдельных
   --payload=tls_client_hello
   --hostlist-domains=googlevideo.com
   --out-range=-s34228
-  --lua-desync=fake:blob=blob_tls_clienthello_www_google_com:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeats=4
+  --lua-desync=fake:blob=fake_default_tls:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeats=4
   --lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1
 
 --new
@@ -174,20 +174,11 @@ Community-практика: YouTube требует **трёх отдельных
 
 ```
 --payload=tls_client_hello
---lua-desync=syndata:blob=blob_syn_packet
+--lua-desync=syndata:blob=fake_default_tls
 --lua-desync=multisplit:pos=1,sld+1,endsld-2:seqovl=1
 ```
 
-Часто комбинируется с дублированием пакетов для надёжности:
-
-```
---payload=tls_client_hello
---lua-desync=syndata:blob=blob_syn_packet
---lua-desync=multisplit:pos=1,sld+1,endsld-2:seqovl=1:dup=2:dup_cutoff=3
-```
-
-Используется для googlevideo.com CDN, где стандартные fake-стратегии не проходят. Blob `syn_packet.bin` содержит
-специально сформированный SYN payload.
+Используется для googlevideo.com CDN, где стандартные fake-стратегии не проходят.
 
 ## Стратегия: hostfakesplit с российскими SNI
 
@@ -212,7 +203,7 @@ hostfakesplit подставляет в fake-часть split-а домен "б
 
 ```
 --payload=tls_client_hello
---in-range=-s5556 --lua-desync=circular:fails=3:maxtime=60
+--in-range=-s5556 --lua-desync=circular:fails=3:time=60
 --in-range=x
 --lua-desync=hostfakesplit:host=rzd.ru:midhost=host-2:seqovl=sniext+3:badsum:strategy=1
 --lua-desync=hostfakesplit:host=ozon.ru:repeats=4:badsum:strategy=2:final
@@ -225,14 +216,10 @@ overlap "нормальный" российский ClientHello и пропус
 
 ```
 --payload=tls_client_hello
---lua-desync=fakeddisorder:pos=10,midsld:seqovl=336:seqovl_pattern=blob_tls_clienthello_gosuslugi_ru:badsum
+--lua-desync=fakeddisorder:pos=10,midsld:seqovl=336:seqovl_pattern=fake_default_tls:badsum
 ```
 
-Эффективные blobs для seqovl-pattern:
-
-- `blob_tls_clienthello_gosuslugi_ru` — Госуслуги
-- `blob_tls_clienthello_www_google_com` — Google
-- `blob_tls_clienthello_activated` — активационные серверы
+Для seqovl-pattern используются стандартные blob'ы (`fake_default_tls`) или кастомные, загруженные из файла через `name:@path.bin`. Кастомные blob'ы с ClientHello от российских сайтов создаются через захват трафика — в стандартной поставке zapret2 их нет.
 
 Большие значения seqovl (336, 654, 681, 726) нужны для DPI, который анализирует паттерны в TCP window. Малые значения (
 1-2) — для статических DPI, которые не отслеживают TCP-состояние.
@@ -243,7 +230,7 @@ overlap "нормальный" российский ClientHello и пропус
 
 ```
 --payload=tls_client_hello
---lua-desync=fake:blob=0x0F0F0F0F:tls_mod=rnd,dupsid,sni=fonts.google.com:badseq:repeats=4
+--lua-desync=fake:blob=0x0F0F0F0F:tls_mod=rnd,dupsid,sni=fonts.google.com:badsum:repeats=4
 --lua-desync=multidisorder:pos=7,sld+1
 ```
 
@@ -254,10 +241,10 @@ overlap "нормальный" российский ClientHello и пропус
 - `sni=<domain>` — подмена SNI в fake на указанный домен
 - Комбинация `rnd,dupsid,sni=...` — максимальная маскировка
 
-Специфичные значения `badseq-increment`:
+Специфичные значения `tcp_seq`:
 
-- `0` — нулевой increment (пакет выглядит валидным для DPI, но отбрасывается сервером по другим причинам)
-- `2` — минимальный сдвиг
+- `0` — нулевой сдвиг (пакет выглядит валидным для DPI, но отбрасывается сервером по другим fooling-причинам)
+- `1000000` — стандартный сдвиг
 - `10000000` — огромный сдвиг, гарантированно вне TCP window
 
 Параметр `ip_id=zero` — обнуление IP Identification field. Обманывает DPI, которые используют IP ID для трекинга потока.

package/knowledge/strategies/fake-packets.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: fake, rst, rstack, syndata, fooling, md5sig, badsum, autottl, ttl, ip6, extension headers, tcp_ts_up, tcp_nop_del, ip_id, ipfrag2, synhide, hex-pattern, syn_packet
 source: deepwiki/bol-van/zapret2, official-docs, community
 created: 2026-03-25
-updated: 2026-03-30
+updated: 2026-04-02
 revision: 4
 ---
 
@@ -19,33 +19,35 @@ revision: 4
 
 Отправляет fake-пакет перед реальным. DPI обрабатывает fake и «теряет» реальные данные.
 
-### rst / rstack
+### rst
 
 Отправляет fake RST, чтобы DPI считал соединение закрытым и прекратил инспекцию.
 
+Параметр `rstack` — отправить RST+ACK вместо RST:
+
+```
+--lua-desync=rst:rstack
+```
+
 ### syndata
 
 Отправляет данные в SYN-пакете (нестандартное поведение). Сбивает некоторые DPI, которые не ожидают payload в SYN и
 теряют контекст отслеживания соединения.
 
-Blob `syn_packet.bin` содержит специально сформированный SYN payload. Community-практика — комбинировать syndata с
-multisplit для googlevideo.com CDN:
+Community-практика — комбинировать syndata с multisplit для googlevideo.com CDN:
 
 ```
---lua-desync=syndata:blob=blob_syn_packet
---lua-desync=multisplit:pos=1,sld+1,endsld-2:seqovl=1:dup=2:dup_cutoff=3
+--lua-desync=syndata:blob=fake_default_tls
+--lua-desync=multisplit:pos=1,sld+1,endsld-2:seqovl=1
 ```
 
-Дублирование пакетов (`dup=2`) повышает надёжность: если первая копия потерялась или была заблокирована DPI, вторая
-пройдёт.
-
 ### fakeddisorder
 
 Комбинация fake + disorder в одном действии. Отправляет fake-пакет и переупорядочивает сегменты:
 
 ```
 --lua-desync=fakeddisorder:pos=method+2:tcp_md5
---lua-desync=fakeddisorder:pos=10,midsld:seqovl=336:seqovl_pattern=blob_tls_clienthello_www_google_com:badsum
+--lua-desync=fakeddisorder:pos=10,midsld:seqovl=336:seqovl_pattern=fake_default_tls:badsum
 ```
 
 ### tls_client_hello_clone
@@ -91,38 +93,29 @@ Split с fake на уровне hostname. Позволяет указать ко
 
 ## Параметры fake-пакетов
 
-```
---dpi-desync-fake-tls=<file>    # кастомный fake TLS ClientHello
---dpi-desync-fake-http=<file>   # кастомный fake HTTP-запрос
-```
-
-Lua-формат:
+В nfqws2 fake-пакеты задаются через blob-систему в lua-desync:
 
 ```
 --lua-desync=fake:blob=fake_default_tls:tcp_md5
 --lua-desync=fake:blob=fake_default_http:tcp_md5:tcp_seq=-10000
 ```
 
+Стандартные blob'ы: `fake_default_tls` (Firefox ClientHello, SNI=www.microsoft.com), `fake_default_http` (GET www.iana.org), `fake_default_quic` (0x40 + 619×0x00). Кастомные blob'ы загружаются из файлов: `name:@path/to/file.bin`.
+
 ### Inline hex-паттерны вместо blob-файлов
 
 Вместо загрузки .bin файла можно указать hex-паттерн прямо в командной строке. Компактнее и не зависит от наличия файлов
 на диске:
 
 ```
---lua-desync=fake:blob=0x0F0F0F0F:badseq:repeats=4
+--lua-desync=fake:blob=0x0F0F0F0F:badsum:repeats=4
 --lua-desync=fake:blob=0x0F0F0E0F:tls_mod=rnd,dupsid:tcp_md5
---lua-desync=fake:blob=0x00000000:badseq:repeats=11
+--lua-desync=fake:blob=0x00000000:badsum:repeats=11
 ```
 
 Community-практика: hex-паттерны `0x0F0F0F0F` и `0x0F0F0E0F` часто используются как compact fake. Паттерн `0x00000000` —
 нулевые байты, минимальный fake для brute-force подхода с высоким repeats.
 
-Специальный маркер `!` — пустой/инвертированный fake:
-
-```
---lua-desync=fake:blob=!:badseq
-```
-
 Параметры fake в Lua:
 
 - `blob=<payload>` — binary payload для fake
@@ -138,19 +131,18 @@ Community-практика: hex-паттерны `0x0F0F0F0F` и `0x0F0F0E0F` ч
 
 Fake-пакеты ОБЯЗАНЫ быть отброшены сервером, но обработаны DPI. Fooling обеспечивает это.
 
-### md5sig
+### tcp_md5
 
 ```
---dpi-desync-fooling=md5sig
+--lua-desync=fake:blob=fake_default_tls:tcp_md5
 ```
 
-Добавляет фальшивую TCP MD5 signature. Сервер на Linux отбрасывает пакеты с неверной MD5. **Самый надёжный метод** для
-Linux-серверов.
+Добавляет фальшивую TCP MD5 signature (Option 19). По умолчанию — 16 случайных байт. Сервер на Linux отбрасывает пакеты с неверной MD5. **Самый надёжный метод** для Linux-серверов.
 
 ### badsum
 
 ```
---dpi-desync-fooling=badsum
+--lua-desync=fake:blob=fake_default_tls:badsum
 ```
 
 Портит TCP checksum. NIC сервера отбрасывает пакеты с плохой checksum. **НЕ работает**, если у сервера отключён checksum
@@ -159,15 +151,15 @@ offload.
 ### ip_autottl
 
 ```
---dpi-desync-fooling=ip_autottl
+--lua-desync=fake:blob=fake_default_tls:ip_autottl
 ```
 
-Автоматически подбирает TTL так, чтобы fake «умер» до сервера, но прошёл через DPI. **Лучший TTL-метод** — адаптивный.
+Автоматически подбирает TTL так, чтобы fake «умер» до сервера, но прошёл через DPI. Формат: `ip_autottl=delta,min-max`. **Лучший TTL-метод** — адаптивный.
 
 ### ip_ttl=N
 
 ```
---dpi-desync-fooling=ip_ttl=N
+--lua-desync=fake:blob=fake_default_tls:ip_ttl=3
 ```
 
 Фиксированный TTL для fakes. **Хрупкий** — зависит от количества хопов до DPI и сервера. Может сломаться при смене
@@ -175,18 +167,14 @@ offload.
 
 ### tcp_ts
 
-```
---dpi-desync-fooling=tcp_ts
-```
-
-Сдвигает TCP timestamp далеко в прошлое. Сервер отбрасывает устаревшие timestamps.
+Сдвигает TCP timestamp. Сервер отбрасывает устаревшие timestamps.
 
 ### Комбинации
 
-Можно комбинировать несколько методов:
+Можно комбинировать несколько методов в одном инстансе:
 
 ```
---dpi-desync-fooling=md5sig,badsum
+--lua-desync=fake:blob=fake_default_tls:tcp_md5:badsum
 ```
 
 ## Расширенные fooling-параметры (Lua)
@@ -226,7 +214,7 @@ offload.
 | `tcp_ts=delta`                | Модификация TCP Timestamp option                                                                                                                                                                                         |
 | `tcp_ts_up`                   | Переместить Timestamp option в начало списка опций (обходит DPI, которые проверяют timestamp только если он первый)                                                                                                      |
 | `tcp_nop_del`                 | Удалить NOP-padding (0x01) из TCP options, освобождая место в 40-байтном пространстве                                                                                                                                    |
-| `tcp_md5[=hexdata]`           | Добавить TCP MD5 Signature (Option 19). По умолчанию — 16 нулевых байт                                                                                                                                                   |
+| `tcp_md5[=hexdata]`           | Добавить TCP MD5 Signature (Option 19). По умолчанию — 16 случайных байт                                                                                                                                                   |
 
 ### Checksum и фрагментация
 
@@ -238,15 +226,15 @@ offload.
 
 ## Когда использовать
 
-- **fake + md5sig** — основная комбинация. Работает против большинства stateful DPI.
-- **fake + badsum** — альтернатива md5sig. Не всегда работает.
-- **fake + ip_autottl** — если md5sig/badsum не помогают. Адаптивный TTL.
+- **fake + tcp_md5** — основная комбинация. Работает против большинства stateful DPI.
+- **fake + badsum** — альтернатива tcp_md5. Не всегда работает.
+- **fake + ip_autottl** — если tcp_md5/badsum не помогают. Адаптивный TTL.
 - **Избегать ip_ttl=N** — хрупкий, ломается при смене маршрутизации.
-- **rst/rstack** — для DPI, который отслеживает состояние TCP-сессий.
+- **rst** (с `rstack` при необходимости) — для DPI, который отслеживает состояние TCP-сессий.
 
 ## Типичная ошибка
 
 Если fakes доходят до сервера (неправильный fooling), соединение ломается:
 
 - Симптомы: connection reset, TLS handshake failure
-- Решение: сменить fooling метод (md5sig → badsum → ip_autottl)
+- Решение: сменить fooling метод (tcp_md5 → badsum → ip_autottl)

package/knowledge/strategies/lua-scripting.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: lua, scripting, lua-desync, zapret-lib, zapret-antidpi, zapret-auto, zapret-obfs, obfuscation, wireguard, ippxor, udp2icmp, synhide
 source: deepwiki/bol-van/zapret2, official-docs
 created: 2026-03-28
-updated: 2026-03-28
+updated: 2026-04-02
 ---
 
 # Lua Scripting System
@@ -34,7 +34,7 @@ C-демон (nfqws2/dvtws2/winws2):
 ### zapret-lib.lua (утилиты)
 
 Фундаментальные функции:
-- **Dissection**: `dissect_tls`, `dissect_http`, `dissect_url` — разбор протоколов
+- **Dissection**: `http_dissect_req`, `http_dissect_reply`, `dissect_url`, `tls_client_hello_mod` — разбор протоколов
 - **Реконструкция**: `rawsend_dissect_segmented`, `ipfrag2` — отправка модифицированных пакетов
 - **Модификация**: `apply_fooling` — применение fooling-параметров (TTL, checksums, etc.)
 

package/knowledge/strategies/orchestration.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: circular-strategy, rotation, resilience, multi-strategy, profiles, autohostlist
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-29
+updated: 2026-04-02
 ---
 
 # Оркестрация стратегий
@@ -16,15 +16,14 @@ Circular — автоматическая ротация между нескол
 ### Lua-формат
 
 ```
---lua-desync=circular:fails=2:maxtime=60
+--lua-desync=circular:fails=3:time=60
 ```
 
 Параметры:
-- `fails=N` — порог неудач для смены стратегии (по умолчанию 2)
-- `maxtime=N` — временное окно в секундах (по умолчанию 60)
-- `time=N` — альтернативное имя для `maxtime`
-- `retrans=N` — количество ретрансмиссий до считывания неудачи
-- `nld=N` — количество записей в NLD (network latency detection)
+- `fails=N` — порог неудач для смены стратегии (по умолчанию 3)
+- `time=N` — если последний сбой был раньше N секунд назад, счётчик сбрасывается (по умолчанию 60)
+- `retrans=N` — количество ретрансмиссий до считывания неудачи (параметр failure detector)
+- `nld=N` — количество записей NLD для hostkey генератора
 
 **Важно:** параметры circular должны быть без пробелов между стратегиями.
 
@@ -43,7 +42,7 @@ Circular — автоматическая ротация между нескол
 Каждый `--lua-desync` может быть привязан к конкретной стратегии ротации через `strategy=N`:
 
 ```
---lua-desync=circular:fails=2:maxtime=60
+--lua-desync=circular:fails=3:time=60
 --lua-desync=fake:blob=0x0F0F0F0F:tcp_seq=-10000:tcp_ack=-66000:badsum:strategy=1
 --lua-desync=multisplit:pos=2,sld:seqovl=620:strategy=1
 --lua-desync=fake:blob=0x00000000:tcp_ack=-66000:strategy=2
@@ -62,7 +61,7 @@ nfqws2 \
   --filter-tcp=443 \
   --filter-l7=tls \
   --out-range=-s34228 \
-  --in-range=-s5556 --lua-desync=circular:fails=2:maxtime=60 \
+  --in-range=-s5556 --lua-desync=circular:fails=3:time=60 \
   --in-range=x \
   --payload=tls_client_hello \
   --lua-desync=fake:blob=0x0F0F0F0F:tcp_seq=-10000:tcp_ack=-66000:badsum:strategy=1 \
@@ -72,17 +71,6 @@ nfqws2 \
   --lua-desync=multisplit:pos=1:seqovl=681:ip_id=zero:strategy=3
 ```
 
-### Предустановленные circular-конфигурации
-
-Пакет zapret2 включает предустановленные наборы:
-
-| Стратегия | Статус | Circular | Назначение |
-|---|---|---|---|
-| **youtube** | Включена по умолчанию | 14 вариантов | Оптимизирована для YouTube, Google Video |
-| **default** | Отключена | 8 вариантов | Универсальная для других сайтов |
-
-Стратегия `youtube` работает со списком `zapret_hosts_youtube.txt`. Стратегия `default` может быть активирована для обхода блокировок других ресурсов и использует список `zapret_hosts_user.txt` с исключениями из `zapret_hosts_user_exclude.txt`.
-
 ### Range-параметры в circular
 
 - `--out-range=-s34228` — обрабатывать исходящие пакеты до ~25 TCP-пакетов (по TCP sequence). Достаточно для полного TLS ClientHello включая большие (YouTube)

package/knowledge/strategies/telegram-bypass.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: telegram, mtproto, ip-block, dpi, bypass, vpn, strategies
 source: community
 created: 2026-03-28
-updated: 2026-03-28
+updated: 2026-04-02
 ---
 
 # Telegram и zapret2: границы возможного
@@ -136,7 +136,7 @@ ping -c 3 149.154.167.50
 # Если timeout → IP заблокирован → нужен VPN
 
 # Проверить через blockcheckw (если доступен)
-blockcheckw status -d web.telegram.org
+echo "web.telegram.org" > /tmp/tg.txt && blockcheckw status --domain-list /tmp/tg.txt
 # "IP blocked" → VPN
 # "DPI blocked" → zapret2 может помочь
 

package/knowledge/troubleshooting/common-issues.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: troubleshooting, diagnosis, problems, fixes
 source: official-docs
 created: 2026-03-25
-updated: 2026-03-29
+updated: 2026-04-02
 ---
 
 # Диагностика проблем zapret2
@@ -28,7 +28,9 @@ updated: 2026-03-29
 
 Быстрая проверка через blockcheckw:
 ```bash
-blockcheckw status -d example.com
+# создать файл с доменами для проверки
+echo "example.com" > /tmp/check.txt
+blockcheckw status --domain-list /tmp/check.txt
 ```
 Если "IP blocked" → VPN.
 
@@ -37,9 +39,9 @@ blockcheckw status -d example.com
 **Симптомы:** Connection reset, TLS handshake failure.
 **Причина:** Fake-пакеты доходят до сервера и ломают соединение.
 **Решение:** Сменить fooling метод:
-1. `md5sig` → самый надёжный на Linux-серверах
+1. `tcp_md5` → самый надёжный на Linux-серверах
 2. `badsum` → альтернатива (не работает если checksum offload выключен)
-3. `ip_autottl` → адаптивный TTL
+3. `ip_autottl` → адаптивный TTL (формат: `delta,min-max`)
 4. Не использовать фиксированный `ip_ttl` — хрупкий
 
 ### TTL-проблемы
@@ -54,7 +56,7 @@ blockcheckw status -d example.com
 **Решение:**
 1. Если перестала работать ночью — подождать 15-30 минут, возможна реконфигурация ТСПУ
 2. Запустить `blockcheckw scan` заново для поиска новой стратегии
-3. Для resilience: использовать `--lua-desync=circular:fails=3:maxtime=60` с 3+ стратегиями в ротации
+3. Для resilience: использовать `--lua-desync=circular:fails=3:time=60` с 3+ стратегиями в ротации
 
 Подробнее о ночных реконфигурациях: `tspu/night-reconfig.md`
 
@@ -75,8 +77,8 @@ modprobe nfnetlink_queue
 pgrep -f nfqws2
 
 # Проверить правила firewall
-nft list ruleset | grep -c zapret  # или:
-iptables -L -n | grep -c NFQUEUE
+nft list table inet zapret2  # или:
+iptables -L -n -t mangle | grep -c NFQUEUE
 
 # Проверить конфиг
 grep NFQWS2_ENABLE /opt/zapret2/config  # должно быть =1
@@ -132,7 +134,7 @@ systemctl status zapret2  # systemd
 /opt/zapret2/init.d/sysv/zapret2 status  # sysv
 
 # Правила firewall
-nft list ruleset | grep -i zapret
+nft list table inet zapret2
 iptables -L -n -t mangle | grep NFQUEUE
 
 # Конфигурация

package/knowledge/troubleshooting/ipv6-trap.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: troubleshooting, ipv6, bypass, blockcheck, dual-stack, apple, android
 source: community
 created: 2026-03-28
-updated: 2026-03-28
+updated: 2026-04-02
 ---
 
 # IPv6 ловушка: стратегия работает, а сайты — нет
@@ -28,7 +28,7 @@ updated: 2026-03-28
 
 ### blockcheck2 тестирует IPv4
 
-По умолчанию blockcheck2 ищет стратегии для **IPv4** (`IPVS=4`). Найденная стратегия применяется к IPv4-трафику. Но устройство отправляет запросы по **IPv6**, которые идут мимо nfqws2 → попадают под DPI без bypass.
+По умолчанию blockcheck2 ищет стратегии для **IPv4** (`IPVS=4`). blockcheckw также работает только с IPv4 (резолвит только A-записи). Найденная стратегия применяется к IPv4-трафику. Но устройство отправляет запросы по **IPv6**, которые идут мимо nfqws2 → попадают под DPI без bypass.
 
 ### zapret2 и IPv6
 
@@ -120,7 +120,7 @@ IPVS=6 blockcheck2 ...
 /etc/init.d/zapret2 restart
 ```
 
-**Важно:** стратегия для IPv4 может не работать для IPv6 и наоборот. Нужно тестировать отдельно.
+**Важно:** стратегия для IPv4 может не работать для IPv6 и наоборот. В zapret2 автоматическое применение TTL к IPv6 убрано — `ip_autottl` и `ip6_autottl` нужно указывать отдельно. Нужно тестировать IPv4 и IPv6 раздельно.
 
 ### Вариант 3: Отключить IPv6 только для проблемных устройств
 
@@ -154,7 +154,7 @@ uci commit dhcp
 
 Это заставит все устройства использовать только IPv4 для DNS-резолвинга, при этом IPv6-связность сохраняется для локальной сети.
 
-**Внимание:** ZeroBlock фиксил баг, когда AAAA-запросы ломали FakeIP DNS при выключенном IPv6. Если используете ZeroBlock + sing-box, проверьте что FakeIP rules матчат только `query_type=A`.
+**Внимание:** при использовании FakeIP DNS (sing-box и аналоги) убедитесь, что FakeIP rules матчат только `query_type=A`, иначе AAAA-запросы могут ломать резолвинг.
 
 ## Чеклист: стратегия найдена, но не работает
 

package/knowledge/troubleshooting/openwrt-conflicts.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: troubleshooting, openwrt, flowoffload, podkop, zeroblock, nft, firewall, conflicts
 source: community
 created: 2026-03-28
-updated: 2026-03-28
+updated: 2026-04-01
 ---
 
 # Конфликты zapret2 с другим ПО на OpenWrt
@@ -48,7 +48,7 @@ OpenWrt поддерживает **flow offloading** — ускорение ма
 FLOWOFFLOAD=software
 ```
 
-**Рекомендация**: `software` — компромисс между скоростью и совместимостью. zapret сам добавляет exemption rules для flow offload, чтобы пакеты на нужных портах проходили через NFQUEUE.
+**Community-совет**: `software` — компромисс между скоростью и совместимостью. zapret2 при установке `software` или `hardware` создаёт цепочки exemption (`flow_offload_zapret`, `flow_offload_always`) в nftables, чтобы трафик на целевых портах проходил через NFQUEUE, а остальной — offloaded.
 
 #### Вариант 2: Отключить системный offload
 
@@ -66,15 +66,12 @@ uci commit firewall
 
 #### Вариант 3: Если zapret управляет offload сам
 
-Если `FLOWOFFLOAD=software` или `FLOWOFFLOAD=hardware` указаны в конфиге zapret, то zapret сам настраивает offload и добавляет exemption rules:
+Если `FLOWOFFLOAD=software` или `FLOWOFFLOAD=hardware` указаны в конфиге zapret2, он создаёт цепочки nftables для управления offload:
+- `flow_offload` — точка входа
+- `flow_offload_zapret` — содержит `return` rules для трафика, который должен пройти через NFQUEUE (exemption от offload)
+- `flow_offload_always` — всё остальное отправляется в `flow add @ft` (offloaded)
 
-```
-# Пример exemption rule, который zapret добавляет в nftables:
-add rule inet zapret flow_offload mark and != 0 tcp dport {80,443} ct original packets 1-9
-  ip daddr != @nozapret return comment "direct flow offloading exemption"
-```
-
-Это правило говорит: "для пакетов на порты 80/443 в первых 1-9 пакетах соединения — НЕ делать offload, пропустить через обычный путь (и NFQUEUE)".
+Таким образом трафик к целевым доменам/портам проходит обычный путь через nfqws2, а остальной трафик ускоряется через offload.
 
 ### Диагностика
 
@@ -112,18 +109,14 @@ Podkop — популярный инструмент точечной маршр
 ### Причина
 
 Zapret и Podkop оба создают nftables rules с mark-ами:
-- **Zapret**: `meta mark | 0x20000000`, `ct mark | 0x40000000`, queue to 200
+- **Zapret2**: `DESYNC_MARK=0x40000000` (meta mark для предотвращения петель), `DESYNC_MARK_POSTNAT=0x20000000` (для postnat-схемы), queue to 200
 - **Podkop**: свои mangle/proxy rules для перенаправления в sing-box
 
 Эти правила пересекаются: трафик может сначала попасть в zapret queue, потом в podkop redirect (или наоборот), что приводит к непредсказуемому поведению.
 
-### Официальная позиция Podkop
-
-> Одновременное использование Podkop с zapret или youtubeunblock вызывает сбои, так как нарушает работу схемы FakeIP. Документация не содержит инструкций по настройке сторонних DPI-утилит совместно с Podkop.
+### Совместимость с Podkop
 
-Ссылки:
-- Конфликты: https://podkop.net/docs/troubleshooting/
-- Диагностика FakeIP: https://podkop.net/docs/diagnostics/
+Podkop и zapret2 могут работать одновременно при правильном разделении трафика. На практике конфликты чаще всего возникают когда оба инструмента пытаются обработать один и тот же трафик. Рекомендуется разделение по доменам (см. ниже).
 
 ### Варианты решения
 
@@ -159,23 +152,15 @@ config section 'exclusion'
 3. Если FakeIP работает и всё открывается — можно не трогать
 4. Если что-то не работает:
    - Остановить zapret: `/etc/init.d/zapret stop` (или `/etc/init.d/zapret2 stop`)
-   - Перезапустить firewall: `fw4 restart`
+   - Перезапустить firewall: `/etc/init.d/firewall restart`
    - Проверить без zapret — если заработало, значит конфликт
    - Решать по варианту 1, 2 или 3
 
 ## ZeroBlock (Routerich): совместная работа
 
-ZeroBlock — инструмент для Routerich-роутеров (OpenWrt-based), который включает sing-box маршрутизацию и умеет управлять zapret/zapret2.
+> Информация о ZeroBlock получена из community-источников и не верифицирована по публичной документации.
 
-### Особенности
-
-- ZeroBlock в версии 0.7.0+ имеет встроенную **диагностику zapret/zapret2**: показывает NFQWS_OPT и strategy-секции с hostlist
-- ZeroBlock может автоматически загружать секции конфигурации zapret2 с сервера
-- DPI Check в ZeroBlock включает YouTube Stream Check (проверка Innertube API + скачивание 5MB видео), который управляет стратегией `rr_youtube` в zapret2
-
-### Рекомендация
-
-Связка ZeroBlock + zapret2 — штатная конфигурация на Routerich-роутерах. При использовании ZeroBlock следовать его документации по настройке zapret2, а не настраивать вручную.
+ZeroBlock — инструмент для Routerich-роутеров (OpenWrt-based), который включает sing-box маршрутизацию и умеет управлять zapret/zapret2. Связка ZeroBlock + zapret2 — штатная конфигурация на Routerich-роутерах. При использовании ZeroBlock следовать его документации по настройке zapret2.
 
 ## Общие рекомендации
 
@@ -191,13 +176,13 @@ ls -la /etc/rc.d/ | grep -E 'zapret|podkop|sing-box|firewall'
 
 ```bash
 # Все правила zapret
-nft list ruleset | grep -i zapret
+nft list ruleset | grep -i zapret2
 
 # Все правила с mark
 nft list ruleset | grep mark
 
 # Конкретная таблица zapret
-nft list table inet zapret
+nft list table inet zapret2
 ```
 
 ### "Всё упало" — экстренное восстановление
@@ -209,7 +194,7 @@ nft list table inet zapret
 /etc/init.d/zapret disable
 
 # Перезапустить firewall
-fw4 restart
+/etc/init.d/firewall restart
 
 # Проверить интернет
 ping -c 3 8.8.8.8

package/knowledge/troubleshooting/quic-issues.md

@@ -4,14 +4,14 @@ zapret2-version: v0.9.4.5
 tags: troubleshooting, quic, udp, youtube, performance, disable-quic, podkop, browser
 source: community
 created: 2026-03-28
-updated: 2026-03-28
+updated: 2026-04-02
 ---
 
 # QUIC: главный незаметный враг YouTube на роутере
 
 ## Что такое QUIC и почему это проблема
 
-QUIC (HTTP/3) — протокол Google поверх UDP на порту 443. Современные браузеры, YouTube-приложения и другие Google-сервисы **предпочитают QUIC** вместо обычного HTTPS (TCP). Проблема в том, что:
+QUIC (HTTP/3) — транспортный протокол поверх UDP на порту 443, стандартизированный IETF (RFC 9000). Широко используется Google, Cloudflare, Meta и другими. Современные браузеры и приложения **предпочитают QUIC** вместо обычного HTTPS (TCP). Проблема в том, что:
 
 1. **ТСПУ умеет блокировать/замедлять QUIC** отдельно от HTTPS
 2. **Стратегии zapret2 для TCP не работают для QUIC** — это совершенно другой протокол
@@ -23,7 +23,7 @@ QUIC (HTTP/3) — протокол Google поверх UDP на порту 443.
 - YouTube открывается, но видео бесконечно буферизуется или грузится в 480p
 - Сайты Google грузятся по 20 секунд
 - "На ПК работает, на телефоне нет" (разные приложения по-разному используют QUIC)
-- "В одном браузере работает, в другом нет" (Chrome включает QUIC по умолчанию, Firefox — нет)
+- "В одном браузере работает, в другом нет" (все основные браузеры включают QUIC по умолчанию, но поведение fallback различается)
 - Стратегия zapret2 для TCP работает (`curl` на роутере OK), но YouTube всё равно тормозит
 
 ### Почему это происходит
@@ -32,8 +32,8 @@ QUIC (HTTP/3) — протокол Google поверх UDP на порту 443.
 Без QUIC:
   Браузер → TCP:443 → nfqws2 обрабатывает → DPI обманут → YouTube работает
 
-С QUIC:
-  Браузер → UDP:443 (QUIC) → nfqws2 НЕ обрабатывает (нет правил для UDP)
+С QUIC (без UDP-секции в конфиге):
+  Браузер → UDP:443 (QUIC) → nfqws2 НЕ обрабатывает (нет секции --filter-udp в конфиге)
                             → ТСПУ распознаёт QUIC → замедление/блокировка
                             → YouTube тормозит
 ```
@@ -119,33 +119,30 @@ NFQWS2_OPT="
 ```
 
 Но QUIC bypass **сложнее** TCP bypass:
-- QUIC зашифрован с первого пакета — нельзя манипулировать SNI
+- QUIC зашифрован с первого пакета — nfqws2 расшифровывает QUIC Initial для извлечения SNI, но манипулировать SNI бессмысленно (DPI тоже расшифровывает)
 - Основная стратегия — fake packets (отправить поддельный QUIC Initial)
 - Результат менее предсказуем чем для TCP
 - Не все ТСПУ одинаково обрабатывают QUIC
 
-### 3. Custom script quic4all (community)
+### 3. Отдельная QUIC-секция в конфиге zapret2
 
-Отдельный скрипт для desync всех QUIC-пакетов:
+В zapret2 QUIC-обработка добавляется как отдельная секция через `--new`:
 
-```bash
-# Скрипт quic4all для zapret2 custom.d/
-NFQWS_OPT_DESYNC_QUIC="${NFQWS_OPT_DESYNC_QUIC:---payload quic_initial --blob=quic_3:@/opt/zapret2/files/fake/quic_3.bin --lua-desync=fake:blob=quic_3}"
-
-alloc_dnum DNUM_QUIC4ALL
-alloc_qnum QNUM_QUIC4ALL
-
-zapret_custom_daemons()
-{
-  local opt="--qnum=$QNUM_QUIC4ALL $NFQWS_OPT_DESYNC_QUIC"
-  do_nfqws $1 $DNUM_QUIC4ALL "$opt"
-}
-zapret_custom_firewall_nft()
-{
-  local f="udp length >= 264 @ih,0,4 0xC @ih,8,32 0x00000001"
-  nft_fw_nfqws_post "$f" "$f" $QNUM_QUIC4ALL
-}
 ```
+NFQWS2_OPT="
+--name=https
+  --filter-tcp=443 --filter-l7=tls
+  --payload=tls_client_hello
+  --lua-desync=multisplit:pos=10:seqovl=1
+--new
+--name=quic
+  --filter-udp=443 --filter-l7=quic
+  --payload=quic_initial
+  --lua-desync=fake:blob=fake_default_quic:repeats=11
+"
+```
+
+Доступные blob-ы для QUIC fake: `fake_default_quic`, `quic_initial_www_google_com`, `quic_initial_facebook_com` и др. Количество repeats критично — UDP не гарантирует доставку, для агрессивного DPI может потребоваться 8-11 повторений.
 
 ## Частые ошибки
 
@@ -172,7 +169,7 @@ SmartTV могут использовать свои DNS-серверы и QUIC,
 ## Чеклист: YouTube тормозит
 
 1. [ ] Проверить: `curl -m 5 -I https://www.youtube.com` на роутере — если OK, стратегия TCP работает
-2. [ ] Проверить QUIC: `disable_quic` в podkop / `MODE_QUIC` в zapret
+2. [ ] Проверить QUIC: `disable_quic` в podkop / наличие секции `--filter-udp=443` в конфиге zapret2
 3. [ ] Если QUIC не отключён — отключить (самый быстрый фикс)
 4. [ ] Проверить Private DNS на Android-устройствах
 5. [ ] Проверить QUIC в браузере: `chrome://flags` → QUIC → Disabled

package/knowledge/troubleshooting/smart-tv-youtube.md

@@ -4,7 +4,7 @@ zapret2-version: v0.9.4.5
 tags: troubleshooting, smart-tv, youtube, tls, samsung, tizen, lg, webos, vidaa, platforms
 source: community
 created: 2026-03-28
-updated: 2026-04-01
+updated: 2026-04-02
 ---
 
 # Smart TV и YouTube: почему стратегия работает на ПК, но не на телевизоре
@@ -95,7 +95,7 @@ VIDAA, WebOS и Tizen агрессивно кешируют приложение
 --out-range=-s34228
 --payload=tls_client_hello
 --lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1
---lua-desync=fake:blob=blob_tls_clienthello_www_google_com:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeat=4
+--lua-desync=fake:blob=fake_default_tls:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeat=4
 ```
 
 Принцип работы:
@@ -115,7 +115,7 @@ NFQWS2_OPT="
   --payload=tls_client_hello
   --hostlist-domains=youtube.com,googlevideo.com,youtubei.googleapis.com
   --lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1
-  --lua-desync=fake:blob=blob_tls_clienthello_www_google_com:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeat=4
+  --lua-desync=fake:blob=fake_default_tls:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeat=4
 --new
 --name=other-https
   --filter-tcp=443 --filter-l7=tls

package/knowledge/troubleshooting/youtube-video-not-loading.md

@@ -3,7 +3,7 @@ title: YouTube Opens But Video Does Not Load
 zapret2-version: v0.9.4.5
 tags: youtube, googlevideo, CDN, video, troubleshooting, badsum, aggressive, desktop, three-stream, quic
 created: 2026-03-29
-updated: 2026-03-30
+updated: 2026-04-02
 source: community, deepwiki/bol-van/zapret2
 ---
 
@@ -63,17 +63,17 @@ nft add rule inet zapret2 postrouting_hook udp dport 443 drop
 
 ### 3. Проверить hostlist
 
-googlevideo.com должен быть в hostlist:
+googlevideo.com должен быть в hostlist. Проверить через конфиг:
 
 ```bash
-grep -i googlevideo /opt/zapret2/zapret_hosts_user.txt
-```
-
-Если нет — добавить:
+# Если используется --hostlist-domains в NFQWS2_OPT:
+grep -i googlevideo /opt/zapret2/config
 
+# Если используется --hostlist с файлом:
+grep -r googlevideo /opt/zapret2/ipset/
 ```
-googlevideo.com
-```
+
+Если нет — добавить `googlevideo.com` в hostlist или в `--hostlist-domains`.
 
 ## Решение: агрессивная стратегия для YouTube
 
@@ -85,7 +85,7 @@ googlevideo.com
 --out-range=-s34228
 --payload=tls_client_hello
 --lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld-2,midsld,midsld+2,endhost-1
---lua-desync=fake:blob=blob_tls_clienthello_www_google_com:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeat=4
+--lua-desync=fake:blob=fake_default_tls:optional:tcp_seq=-10000:tcp_ack=-66000:badsum:tls_mod=rnd,dupsid,sni=rzd.ru:repeat=4
 ```
 
 **Что делает:**
@@ -99,27 +99,27 @@ googlevideo.com
 
 ### Вариант 2: circular-стратегия с автоматическим перебором
 
-zapret2 включает предсобранный профиль `youtube` с 14 вариантами стратегий в circular-ротации. Если одна стратегия не
-работает — автоматически переключается на следующую.
+Можно настроить circular-оркестратор для автоматической ротации стратегий при отказе:
 
-Включение:
-
-```bash
-# В config
-MODE=nfqws2
-NFQWS2_ENABLE=1
-# Использовать профиль youtube
 ```
+--lua-desync=circular:fails=3:time=60
+--lua-desync=multidisorder:pos=1,sniext+1,host+1,midsld:strategy=1
+  --lua-desync=fake:blob=fake_default_tls:badsum:strategy=1
+--lua-desync=split2:pos=2:strategy=2
+  --lua-desync=fake:blob=fake_default_tls:tcp_md5:strategy=2
+```
+
+Если стратегия 1 набирает 3 неудачи — переключается на стратегию 2 и т.д.
 
 ### Вариант 3: найти стратегию через blockcheckw
 
 Самый надёжный подход — просканировать что работает именно для вашего провайдера:
 
 ```bash
-blockcheckw scan --target youtube.com --target googlevideo.com -j 128
+blockcheckw scan -d googlevideo.com -w 128
 ```
 
-Важно: сканировать именно `googlevideo.com`, а не только `youtube.com`.
+Важно: сканировать именно `googlevideo.com`, а не только `youtube.com`. Флаг `-d` задаёт домен, `-w` — число параллельных воркеров.
 
 ## Почему badsum
 
@@ -128,7 +128,7 @@ blockcheckw scan --target youtube.com --target googlevideo.com -j 128
 | Метод        | Механизм                                          | Для googlevideo                |
 |--------------|---------------------------------------------------|--------------------------------|
 | `badsum`     | Испорченная TCP checksum, NIC сервера отбрасывает | Работает в большинстве случаев |
-| `md5sig`     | Фальшивая TCP MD5 подпись, сервер отклоняет       | Надёжнее на Linux-серверах     |
+| `tcp_md5`    | Фальшивая TCP MD5 подпись, сервер отклоняет       | Надёжнее на Linux-серверах     |
 | `ip_autottl` | TTL = расстояние до DPI, пакет умирает до сервера | Зависит от топологии           |
 
 `badsum` — наиболее распространённый выбор для YouTube CDN в community-стратегиях.

package/package.json

@@ -1,6 +1,6 @@
 {
   "name": "zapret2-mcp",
-  "version": "0.7.5",
+  "version": "0.7.9",
   "description": "MCP knowledge server for zapret2 DPI bypass tool and blockcheckw strategy scanner",
   "license": "MIT",
   "author": "Stanislav Zemlyakov",