西廂計畫 說明、原理簡介

西廂計畫 跟 GFW 有關係, Windows 有很多穿牆工具, Linux 沒注意過, 不過 西廂計畫 算是其中一種, 而且看起來很好用~ 😛

西廂計畫 說明

西廂計畫 說明 - 下述摘錄自: scholarzhang - a project whose name came from the Romance_of_the_West_Chamber

目的

西廂計劃提供一組工具,使用戶在設定之後,能夠以普通程式直連接目標網路,而避免GFW的大部分影響。其命名是為了向中國古典文學史上翻牆的先驅者張某致敬。西廂計劃現在已經達到alpha可用狀態,在初步的測試中可以讓用戶以普通瀏覽器無障礙地直連Youtube。

特性


西廂計劃要解決GFW造成的兩個方面的問題:TCP連接重置 和 DNS劫持(污染)。

為此西廂計劃提供了兩種特性:

  • TCP連接混淆:在每次連接中,通過對GFW的入侵檢測系統進行註入,混淆連接,使得GFW無法正確解析連接和檢測關鍵詞,從而在有關鍵詞的情況下也避免連接重置。
  • 反DNS劫持:通過匹配GFW偽包的指紋並將其過濾,讓用戶以普通的客戶端也能獲得正確的解析結果。(用戶需要設置DNS為沒有被污染的DNS,例如8.8.8.8等)

西廂計劃不是代理,不是VPN,無需加密,使用時不需要第三方支援,不需要繞道,讓用戶能夠以最優的性能直連目標,使用時不需要運行特別的程式。西廂計劃利用現有工具,僅要求用戶能夠使用iptables進行快速配置,學習難度低。

西廂計劃目前能夠讓用戶直連Youtube和其他Google服務,還有更多潛力可以發掘。

原理簡介

西廂計劃採取了T. Ptacek等在1998年的論文Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection中提出規避入侵檢測的註入方法。註入法是指發出特製報文,使得這些報文對對方沒有效果,但是讓IDS錯誤地分析協議,從而讓IDS錯誤地認為連接被提前終止了。由於GFW的TCP棧非常簡陋,因此我們可以直接利用GFW的TCP棧的特性,對任何遵守RFC的目標主機都採取特定特殊措施,讓GFW無法正確解析TCP連接,從而避免關鍵詞監測。

西廂計畫 於 Ubuntu / Debian Linux 設定方式

相關網頁


關於 Tsung

對新奇的事物都很有興趣, 喜歡簡單的東西, 過簡單的生活.
本篇發表於 News-Technology。將永久鏈結加入書籤。

發表迴響

這個網站採用 Akismet 服務減少垃圾留言。進一步瞭解 Akismet 如何處理網站訪客的留言資料