一路 BBS

 找回密码
 注册
搜索
查看: 526|回复: 0
打印 上一主题 下一主题

西厢计划:不用代理翻墙的软件(alpha版发布)

[复制链接]
跳转到指定楼层
楼主
发表于 3-10-2010 16:56:28 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本文通过一路BBS站telnet客户端发布



目前发布了alpha版,只能在Linux下使用。断桥简单介绍,它能够通过注入攻击GFW系统,
使得GFW无法准确地检测和判定关键词,使得判定关键词的方法失效。同时,通过识别GFW劫
持污染DNS伪包的指纹来得到正确的ip解析结果。该软件的特性与其他翻墙软件完全不同,
它是通过直接攻击GFW来实现直连,不使用任何代理。

但是不能访问被直接封锁ip的网站。

http://code.google.com/p/scholarzhang/wiki/README

详情如下

西厢计划提供一组工具,使得用户在一次设置之后,能够以普通程序直连目标网络,而避免
GFW的大部分影响。其命名是为了向中国古典文学史上翻墙的先驱者张某致敬。西厢计划现
在已经达到alpha可用状态,在初步的测试中可以让用户以普通浏览器无障碍地直连
Youtube。

特性

西厢计划要解决GFW造成的两个方面的问题:TCP连接重置和DNS劫持(污染)。为此西厢计
划提供了两种特性:

TCP连接混淆:在每次连接中,通过对GFW的入侵检测系统进行注入,混淆连接,使得GFW无
法正确解析连接和检测关键词,从而在有关键词的情况下也避免连接重置。
反DNS劫持:通过匹配GFW伪包的指纹并将其过滤,让用户以普通的客户端也能获得正确的解
析结果。(用户需要设置DNS为没有被污染的DNS,例如8.8.8.8等)
西厢计划不是代理,不是VPN,无需加密,使用时不需要第三方支援,不需要绕道,让用户
能够以最优的性能直连目标,使用时不需要运行特别的程序。西厢计划利用现有工具,仅要
求用户能够使用iptables进行快速配置,学习难度低。

西厢计划目前能够让用户直连Youtube和其他Google服务,还有更多潜力可以发掘。

原理简介

西厢计划采取了T. Ptacek等在1998年的论文Insertion, Evasion, and Denial of
Service: Eluding Network Intrusion Detection中提出规避入侵检测的注入方法。注入法
是指发出特制报文,使得这些报文对对方没有效果,但是让IDS错误地分析协议,从而让
IDS错误地认为连接被提前终止了。由于GFW的TCP栈非常简陋,因此我们可以直接利用GFW的
TCP栈的特性,对任何遵守RFC的目标主机都采取特定特殊措施,让GFW无法正确解析TCP连接
,从而避免关键词监测。

局限

西厢计划的连接混淆功能对于基于IP地址的封锁和其他无状态的封锁不能生效,因为它需要
通过注入攻击改变GFW的连接状态,如果封锁与连接状态无关便无法进行连接混淆。另外,
连接混淆的实现假设连接双方遵守RFC。有一些目标主机或者防火墙不遵守RFC,可能导致正
常不含关键词的连接被对方终止或者忽略。因此我们特别使用ipset,把作用范围限制在需
要的地址段(比如Google),以避免不必要的问题。

西厢计划目前依赖linux内核的netfilter功能,因此要求用户平台是linux,暂时没有移植
。之前有一个基于WinPcap的版本可以在MinGW32环境下编译运行,实现了连接混淆的部分,
未实现反DNS劫持的部分,用户仍然可以试用,但不再维护。

西厢计划所用的GFW伪包指纹可能在此项目发布之后被GFW更改,因此用户可能需要使用最新
的版本才能让功能生效。

报告问题

请到本项目的issue list报告问题。

更多工作

更细致的测试
打包(deb、dkms、rpm)以提高可用性
FreeBSD、Windows等系统的移植
希望感兴趣的朋友参与帮助此项目的开发,特别是以上三项。可以直接向项目管理员发邮件
或者在项目wiki页留言成为committer,也可以直接fork一个新项目,都欢迎。

另外由于目前广泛应用的CDN系统是以支持GeoIP的DNS为基础的,这要求用户使用的DNS服务
器应当与自身所处网络尽可能近,否则用户上网会很缓慢。如果您愿意为突破GFW出一份力
,欢迎在国内架设递归DNS服务器,此项目的反DNS劫持模块可以使递归DNS服务器的缓存不
被GFW投毒,从而国内用户可以在任何操作系统下,只需要将系统DNS设置为您的DNS服务器
,不用任何其它设置(用户不必使用本项目),就能得到即时、正确、最优的DNS返回。



--

※ 来源:.一路BBS yilubbs.com.[FROM: 130.203.0.0]

※ 修改:.bridged 于 Mar 10 19:58:20 修改本文.[FROM: 130.203.0.0]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表