Mar 21, 2010

深入理解GFW:结论

作为深入理解系列最后一篇,有好几个平行的话题在这里一并讨论了。

西厢的弱点和局限

首先泼一盆冷水。

西厢远没有你们想象得那样强大,它有很多弱点和局限:

  • 对IP封锁无效。比如加载之后也不能访问twitter.com。
  • 对无状态的TCP阻断无效。比如有一段时间的docs.google.com:443。
  • 不稳定。不少用户反应使用时有时候仍然会连接被重置。
  • 受环境影响大。因为要求网络中间节点都遵守RFC,不少NAT内网用户无法使用,装了防火墙也可能造成无法使用,在虚拟机内开启也可能无法使用。
  • 安全性没有改善。用户的通信仍然是原样,明文仍然是明文,被动监听设备依然正常截获用户的通信。
  • 受制于GFW的变动。GFW指纹逻辑比较复杂,只能通过硬编码来描述。如果GFW更新工作方式细节,那么匹配模块就需要重写更新才能使用。
  • 另外,有ipv6线路的用户访问Youtube不需要使用西厢。

而它的优点是,免费,无中转性能开销。因此,到发布为止,只想到Youtube最大地展示了它的优点而较少受到缺点影响。而产生幻觉,只看到优点看不到缺点是多数人会犯的错误。

HTTP URL/深度关键词检测

一项持续时间比张某还长的遗留研究。下面是它的开发研究简介,细节很多,非研究者可以略去不看。

Mar 10, 2010

西厢计划

2008年7月tek4小组建立:

作为个搞技术的人,我们要干点疯狂的事。如果我们不动手,我们就要被比我们差的远的坏技术人员欺负。这太丢人了。眼前就是,GFW这个东西,之前是我们不抱团,让它猖狂了。现在咱们得凑一起,想出来一个办法让它郁闷一下,不能老被欺负吧。要不,等到未来,后代会嘲笑我们这些没用的家伙,就象我们说别人“你怎么不反抗?”

之后一个月几篇显著的文章出现:译言的《如何忽略防火长城》,周曙光的《Zola教你玩:如何对抗GFW的域名劫持》,Robert Mao的《关于墙的技术讨论》 ,预言“射击墙的理论已经几乎要进入实战”。

之后tek4小组又参与了绿坝推倒作战,提供几份重要文档的来源。再之后GFW的实体被匿名网民进一步揭露,方滨兴浮出水面。

时至今日,经过大家的努力,GFW的实体、结构、工作方式、弱点已经全部暴露在阳光之下,穿墙方法和DDoS规划方法也已经成熟。我们作为已经解散的tek4小组的一个分支,研究实际上在很早之前就已经结束,在花费大量时间编写文档、整理文献和验证实验数据之后,终于到了展示实战方法的时候,当初人们提出的设想也在这里得到了令人满意的答复。在这一部分完成之后我们也将解散。

这就是:西厢计划