西厢计划

维基百科,自由的百科全书
跳转至: 导航搜索

西厢计划提供了一组工具,使用户能够繞過中华人民共和国防火长城的关键字阻断和 IP 封锁等手段,直接访问目被封鎖的網站。其命名是为了向中国古典文学史上“翻墙”的先驱者张生致敬。西厢计划由於各種原因而於 2010 年暫停更新,最後發佈的一個版本目前已由於防火长城的更新而無法使用,但在當時的测试中已可以直接訪問 Youtube

計劃與設想[编辑]

西廂計劃與其他的翻牆工具不同,它並不是代理服務或 VPN,而是從技術層面避開防火长城的封鎖手段,如 TCP 连接重置、DNS 劫持IP 封锁和 URL 关键字过滤,为此西厢计划希望提供三种特性:

  • TCP 连接混淆:在每次连接中,通过对防火长城入侵检测系统进行注入,與正常的连接混淆,使得防火长城无法正确解析连接和检测关键词,从而避開關鍵字過濾。
  • DNS劫持:通过匹配防火长城伪包的指纹并将其过滤,從而使一般的 DNS 解析也能获得正确的结果,但需要使用未受污染的 DNS,例如 Google Public DNS
  • 單向隧道:利用防火長城僅僅對出站的數據包進行過濾的特性,将發出的数据包透過不受過濾的服务器中转,而收到的数据包可直接穿过防火長城到达客户端。這種情況下,由於防火長城无法獲取請求 URL,关键词过滤也將失效。當時的測試中,以這種方法觀看經由 HTTP 協議傳輸的在线视频時,中转服务器仅耗费极小的流量。

由於西廂計劃无需加密或透過代理伺服器中轉,亦不需要第三方支援,因此在多種翻牆方式中理論性能顯得較爲優秀。

技術原理[编辑]

西厢计划采取了 T. Ptacek 等在 1998 年的论文中提出避開入侵检测的注入方法,即发出特制报文,使得这些报文对对方没有效果,但是让入侵检测系统错误地分析协议,从而让其错误地认为连接被提前终止了。由于防火长城的 TCP 栈非常简陋,因此可利用此特性,对所有遵守 RFC 的目标主机都采取特定措施,让防火长城无法正确解析 TCP 连接,从而避開关键词监测。

局限[编辑]

西厢计划的连接混淆功能对于基于 IP 地址的封锁和其他无状态的封锁不能生效,因为它需要通过注入攻击改变防火长城的连接状态,如果封锁与连接状态无关便无法进行连接混淆。另外,连接混淆的实现假设连接双方遵守 RFC。有一些目标主机或者防火墙不遵守 RFC,可能导致正常不含关键词的连接被对方终止或者忽略,這可以經由使用 ipset 把作用范围限制在需要的地址段而避免。

西厢计划目前依赖 Linux 內核netfilter 功能,因此要求用户平台是 Linux,其他平臺的移植項目功能均有所缺失。Windows 平臺上曾有一個基於 Pcap WinPcap 的編譯版本实现了连接混淆的部分,但已不再维护。

由於防火长城的伪包指纹經常變動,因此用户需要不斷更新才能正常使用。

後續[编辑]

西廂計劃後來發展出第二季與第三季兩個項目。第二季實現了單向隧道,而第三季則是對西廂計劃的後續開發,但兩者都是獨立的項目。

由 Onion Project 開發的西廂計劃事實上與此西廂計劃毫無關聯,而是一個基於 GoAgent 的瀏覽器包。

參考資料[编辑]

外部链接[编辑]