社区应用 最新帖子 精华区 社区服务 会员列表 统计排行 银行

  • 83556阅读
  • 2回复

西厢计划-突破GFW封锁的软件项目介绍

级别: 管理员
发帖
8532
金币
2762
威望
3231
贡献值
0
元宝
0

ScholarShang 提供一组工具,使得用户在一次设置之后,能够以普通程序直连目标网络,而避免GFW的大部分影响。其命 名是为了向中国古典文学史上翻墙的先驱者张某致敬。西厢计划现在已经达到alpha可用状态,在初步的测试中可以让用户以普通浏览器无障碍地直连 Youtube。

特性

西厢计划要解决GFW造成的两个 方面的问题:TCP连接重置和DNS劫持(污染)。为此西厢计划提供了两种特性:

  • TCP连 接混淆:在每次连接中,通过对GFW的入侵检测系统进行注入,混淆连接,使得GFW无法正确解析连接和检测关键词,从而在有关键词的情况下也避免连接重 置。
  • 反DNS劫持:通过匹配GFW伪包的指纹并将其过滤,让用户以普通的客户端也能获得正确的解 析结果。(用户需要设置DNS为没有被污染的DNS,例如8.8.8.8等)

西厢计划不 是代理,不是VPN,无需加密,使用时不需要第三方支援,不需要绕道,让用户能够以最优的性能直连目标,使用时不需要运行特别的程序。西厢计划利用现有工 具,仅要求用户能够使用iptables进行快速配置,学习难度低。

西厢计划目前能够让用户直连 Youtube和其他Google服务,还有更多潜力可以发掘。

原理简介

西厢计划采取了T. Ptacek等在1998年的论文Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection中提出规避入侵检测的注入方法。注入法是指发出特制报文,使得这些报文对对方没有效果,但是让IDS错误地分析协议,从而让IDS错误 地认为连接被提前终止了。由于GFW的TCP栈非常简陋,因此我们可以直接利用GFW的TCP栈的特性,对任何遵守RFC的目标主机都采取特定特殊措施, 让GFW无法正确解析TCP连接,从而避免关键词监测。

原理图:

关键词: 软件 GFW 开源
QQ: 378890364 微信:wwtree(省短信费) 紧急事宜发短信到0061432027638  本站微博:http://t.qq.com/wwtree QQ群:122538123
级别: 管理员
发帖
8532
金币
2762
威望
3231
贡献值
0
元宝
0
只看该作者 沙发  发表于: 2011-01-18

《西厢计划第二季》能突破GFW的 IP封锁 和 URL关键词过滤 。
它的实现原理是利用GFW的单向IP封锁特性,将 发出 的数据包通过国外的第三方服务器中转,而收到的数据包 穿过GFW直接到达客户端 。当用HTTP方式观看在线视频或下载大文件时,对中转服务器仅耗费极小的流量 。
同时,由于GFW只能捕捉到单向的流量, 无法建立TCP状态机 无法获取请求URL,关键词过滤也就失效了。
使用方法:
下载与编译
下载源代码:
svn checkout http://west-chamber-season-2.googlecode.com/svn/trunk/ west-chamber-season-2-read-only
安装libpcap库后进入目录后直接make
在中转服务器上执行:
./wcs2_fwd 12345
在客户端上执行:
# 阻止路由器发来的“ttl exceeded”消息
sudo iptables -t filter -I INPUT -p icmp --icmp-type ttl-exceeded -j DROP
# 将发出数据的TTL设置为5,不会到达GFW
sudo iptables -t mangle -I OUTPUT -d 被封锁的IP地址 -j TTL --ttl-set 5
# 把包搞小一点,才能塞进一个UDP包
sudo ifconfig eth0 mtu 1300
./wcs2_cli eth0 客户端的公网IP地址 中转服务器的IP地址 12345
补充说明
《西厢计划第二季》为独立的新项目,与原西厢计划没有关联,只是借用了一下品牌~~~。西厢计划第二季和西厢计划都是tech demo,发布出来不是给你用的,而是给你研究的。
QQ: 378890364 微信:wwtree(省短信费) 紧急事宜发短信到0061432027638  本站微博:http://t.qq.com/wwtree QQ群:122538123
级别: 管理员
发帖
8532
金币
2762
威望
3231
贡献值
0
元宝
0
只看该作者 板凳  发表于: 2011-08-19

“待月西厢下,迎风户半开,隔墙花影动,疑是玉人来。”
ScholarShang 提供一组工具,使得用户在一次设置之后,能够以普通程序直连目标网络,而避免GFW的大部分影响。其命 名是为了向中国古典文学史上翻墙的先驱者张某致敬。西厢计划现在已经达到alpha可用状态,在初步的测试中可以让用户以普通浏览器无障碍地直连 Youtube。
特性
西厢计划要解决GFW造成的两个 方面的问题:TCP连接重置和DNS劫持(污染)。为此西厢计划提供了两种特性:
    TCP连 接混淆:在每次连接中,通过对GFW的入侵检测系统进行注入,混淆连接,使得GFW无法正确解析连接和检测关键词,从而在有关键词的情况下也避免连接重 置。反DNS劫持:通过匹配GFW伪包的指纹并将其过滤,让用户以普通的客户端也能获得正确的解 析结果。(用户需要设置DNS为没有被污染的DNS,例如8.8.8.8等)
西厢计划不 是代理,不是VPN,无需加密,使用时不需要第三方支援,不需要绕道,让用户能够以最优的性能直连目标,使用时不需要运行特别的程序。西厢计划利用现有工 具,仅要求用户能够使用iptables进行快速配置,学习难度低。
西厢计划目前能够让用户直连 Youtube和其他Google服务,还有更多潜力可以发掘。
原理简介
西厢计划采取了T. Ptacek等在1998年的论文Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection中提出规避入侵检测的注入方法。注入法是指发出特制报文,使得这些报文对对方没有效果,但是让IDS错误地分析协议,从而让IDS错误 地认为连接被提前终止了。由于GFW的TCP栈非常简陋,因此我们可以直接利用GFW的TCP栈的特性,对任何遵守RFC的目标主机都采取特定特殊措施, 让GFW无法正确解析TCP连接,从而避免关键词监测。
原理图:


QQ: 378890364 微信:wwtree(省短信费) 紧急事宜发短信到0061432027638  本站微博:http://t.qq.com/wwtree QQ群:122538123
描述
快速回复

您目前还是游客,请 登录注册
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容