From d0fd6b4868270c58eb0bad4d06117f0a88390cc3 Mon Sep 17 00:00:00 2001 From: bol-van Date: Sun, 14 Dec 2025 13:27:09 +0300 Subject: [PATCH] update docs --- docs/manual.md | 11 ++++++----- 1 file changed, 6 insertions(+), 5 deletions(-) diff --git a/docs/manual.md b/docs/manual.md index 9f9307e..2cd1d7c 100644 --- a/docs/manual.md +++ b/docs/manual.md @@ -796,7 +796,7 @@ nfqws2 следит за превышением верхней границы с ``` --filter-tcp=80,443 --filter-l7=http,tls ---out-range=-d15 +--out-range=-s34228 and --in-range=-s5556 --lua-desync=circular --in-range=x --payload=tls_client_hello @@ -811,10 +811,11 @@ nfqws2 следит за превышением верхней границы с * Профильный фильтр по tcp портам и типу протокола потока позволяет избежать вызовов LUA на другом трафике. Профиль вообще не будет задействован, если условия фильтра не выполнятся. -* `--out-range` указан, чтобы отсечь поток от LUA по исходящему направлению после 15 отправленных пакетов с данными - для экономии процессора. -На Linux может быть не нужно, если используется фильтр connbytes. -* Инстанс circular для своей работы требует начальные входящие пакеты потока, а по умолчанию они отключены. -Поэтому включаем вплоть до позиции relative sequence 5556 (по умолчанию детектор успеха реагирует на s4096, добавлен еще 1 пакет до 1460 байт). +* `--out-range` указан, чтобы отсечь поток от LUA по исходящему направлению после relative sequence (32768+1460) - для экономии процессора. +Такое значение выбрано из-за специфики функции circular - значение s32768 используется в детекторе успеха как порог срабатывания по умолчанию, +1460 - максимально возможная длина данных в tcp пакете. На Linux может быть не нужно, если используется фильтр connbytes. +* сircular для своей работы требует начальные входящие пакеты потока, а по умолчанию они отключены. +Поэтому включаем вплоть до позиции relative sequence 5556. По умолчанию детектор успеха реагирует на s4096. Добавлен еще 1 пакет макс 1460 байт. * Остальные инстансы не нуждаются во входящем трафике. Снова отключаем. Действие `--in-range=x` распространяется до конца профиля. * Действие `--payload` распространяется на два следующих за ним инстанса. * Строчка `--lua-desync=fake:blob=fake_default_tls:badsum:strategy=1` вызывает функцию `fake` с 3 аргументами : `blob`, `badsum`, `strategy`.