强悍穿墙软件西厢计划发布

szdos

1楼 大 中 小 发表于 2010-3-10 23:32 只看该作者

强悍穿墙软件西厢计划发布

西厢计划原来叫作张秀才。。。。

注意是“穿墙”，不是翻墙哦。真正做到对墙完全无视

西厢计划提供一组工具，使得用户在一次设置之后，能够以普通程序直连目标网络，而避免GFW的大部分影响。其命名是为了向中国古典文学史上翻墙的先驱者张某致敬。西厢计划现在已经达到alpha可用状态，在初步的测试中可以让用户以普通浏览器无障碍地直连

Youtube。

特性

西厢计划要解决GFW造成的两个方面的问题：TCP连接重置和DNS劫持（污染）。为此西厢计划提供了两种特性：

* TCP连接混淆：在每次连接中，通过对GFW的入侵检测系统进行注入，混淆连接，使得GFW无法正确解析连接和检测关键词，从而在有关键词的情况下也避免连接重置。  

* 反DNS劫持：通过匹配GFW伪包的指纹并将其过滤，让用户以普通的客户端也能获得正确的解析结果。（用户需要设置DNS为没有被污染的DNS，例如8.8.8.8等）   

西厢计划不是代理，不是VPN，无需加密，使用时不需要第三方支援，不需要绕道，让用户能够以最优的性能直连目标，使用时不需要运行特别的程序。西厢计划利用现有工具，仅要求用户能够使用iptables进行快速配置，学习难度低。

西厢计划目前能够让用户直连 Youtube和其他Google服务，还有更多潜力可以发掘。

原理简介

西厢计划采取了T. Ptacek等在1998年的论文Insertion, Evasion, and Denial of Service: Eluding

Network Intrusion

Detection中提出规避入侵检测的注入方法。注入法是指发出特制报文，使得这些报文对对方没有效果，但是让IDS错误地分析协议，从而让IDS错误地认为连接被提前终止了。由于GFW的TCP栈非常简陋，因此我们可以直接利用GFW的TCP栈的特性，对任何遵守RFC的目标主机都采取特定特殊措施，让GFW无法正确解析TCP连接，从而避免关键词监测。

局限

西厢计划的连接混淆功能对于基于IP地址的封锁和其他无状态的封锁不能生效，因为它需要通过注入攻击改变GFW的连接状态，如果封锁与连接状态无关便无法进行连接混淆。另外，连接混淆的实现假设连接双方遵守RFC。有一些目标主机或者防火墙不遵守RFC，可能导致正常不含关键词的连接被对方终止或者忽略。因此我们特别使用ipset，把作用范围限制在需要的地址段（比如Google），以避免不必要的问题。

西厢计划目前依赖linux内核的netfilter功能，因此要求用户平台是linux，暂时没有移植。之前有一个基于

WinPcap的版本可以在MinGW32环境下编译运行，实现了连接混淆的部分，未实现反DNS劫持的部分，用户仍然可以试用，但不再维护。

西厢计划所用的GFW伪包指纹可能在此项目发布之后被GFW更改，因此用户可能需要使用最新的版本才能让功能生效。

报告问题

请到本项目的issue list报告问题。

更多工作

* 更细致的测试  

* 打包（deb、dkms、rpm）以提高可用性  

* FreeBSD、Windows等系统的移植   

希望感兴趣的朋友参与帮助此项目的开发，特别是以上三项。可以直接向项目管理员发邮件或者在项目wiki页留言成为committer，也可以直接fork一个新项目，都欢迎。

另外由于目前广泛应用的CDN系统是以支持GeoIP的DNS为基础的，这要求用户使用的DNS服务器应当与自身所处网络尽可能近，否则用户上网会很缓慢。如果您愿意为突破GFW出一份力，欢迎在国内架设递归DNS服务器，此项目的反

DNS劫持模块可以使递归DNS服务器的缓存不被GFW投毒，从而国内用户可以在任何操作系统下，只需要将系统DNS设置为您的DNS服务器，不用任何其它设置（用户不必使用本项目），就能得到即时、正确、最优的DNS返回。

http://code.google.com/p/scholarzhang/

Terminusbot 整理，讨论请前往 2049bbs.xyz

crime

2楼 大 中 小 发表于 2010-3-10 23:42 只看该作者

支持

但只能是伸手党。。。。

法克垬

思想犯

3楼 大 中 小 发表于 2010-3-11 00:02 只看该作者

太专业了，看不懂

期待很好用的翻墙软件

大祥云

松下问童子 言师采药去 只在此山中 云深不知处

4楼 大 中 小 发表于 2010-3-11 00:20 只看该作者

感谢红娘持棋盘～～～

核子力量

Twitter.com/hzpower

5楼 大 中 小 发表于 2010-3-11 00:24 只看该作者

关注

我朝共产

内心抗争的屁民一个——“为什么要给畜牲自由？它们一代代的命运就是套上枷锁，接受鞭挞。” @huicn

6楼 大 中 小 发表于 2010-3-11 00:32 只看该作者

期待解决winp版

luugoo

拖延心理学：向与生俱来的行为顽症宣战】https://1984bbs.com/viewthread.php?tid=60185

7楼 大 中 小 发表于 2010-3-11 00:55 只看该作者

就是 翻墙 吧？

穿墙是【聊斋志异】《崂山道士》里的王生。。。

txj1984

8楼 大 中 小 发表于 2010-3-11 01:01 只看该作者

什么时候出来啊？

杂食

@buluo89

9楼 大 中 小 发表于 2010-3-11 01:38 只看该作者

目前还没有windows版本

鼠标土豆

古典自由主义土豆

10楼 大 中 小 发表于 2010-3-11 03:23 只看该作者

帅气的名字，帅气的计划

mrain

11楼 大 中 小 发表于 2010-3-11 07:35 只看该作者

for win的版本不能解决DNS污染问题。

zzug

12楼 大 中 小 发表于 2010-3-11 08:29 只看该作者

不错，支持…

mrain

13楼 大 中 小 发表于 2010-3-11 09:13 只看该作者

经测试。。

对youtube、appspot的定向爆破成功。

twitter是不是受到了比较高档的待遇？

张书记

http://twitter.com/SecretaryZhang

14楼 大 中 小 发表于 2010-3-11 09:22 只看该作者

搞大搞强。

foxboson

一个无所事事却又满腔抱负的失业大老板爱美女爱美食爱财猥琐懒惰

15楼 大 中 小 发表于 2010-3-11 10:05 只看该作者

这个我喜欢。

神仙一溜烟

杵君

16楼 大 中 小 发表于 2010-3-11 10:15 只看该作者

叫红杏计划更有群众基础。

四不象

17楼 大 中 小 发表于 2010-3-11 10:40 只看该作者

通过注入来让GFW误以为连接断开，导致入侵检测系统失效

活不明白

一个尽心尽力潜水的老组员

18楼 大 中 小 发表于 2010-3-11 10:49 只看该作者

挖晒 劳动人民好强大

justforfuture

19楼 大 中 小 发表于 2010-3-11 10:49 只看该作者

好样的，纯支持！

萧易寒

20楼 大 中 小 发表于 2010-3-11 10:54 只看该作者

这个牛，这个普及了可以DDOS GFW吧？

arboby

21楼 大 中 小 发表于 2010-3-11 11:09 只看该作者

fuckgfwplan

萧易寒

22楼 大 中 小 发表于 2010-3-11 11:10 只看该作者

基于IP的封锁基本上就是路由器的balcklist吧，和GFW没关系，必须得通过代理方式连接

dfyfhqs

23楼 大 中 小 发表于 2010-3-11 11:18 只看该作者

支持，不过这东西似乎太小众。

isonomy

24楼 大 中 小 发表于 2010-3-11 11:48 只看该作者

关注 支持

id已被绿坝屏蔽

闃呭悗鍗崇剼

25楼 大 中 小 发表于 2010-3-11 11:50 只看该作者

引用:

原帖由 萧易寒 于 2010-3-11 11:10 发表

基于IP的封锁基本上就是路由器的balcklist吧，和GFW没关系，必须得通过代理方式连接

路由扩散。gfwrev不是有博客么。

飞牛

26楼 大 中 小 发表于 2010-3-11 11:52 只看该作者

这一计划如果实施，将会刺激gfw的进化，不过依然是一件好事

只是希望作者提放孙飞虎、老夫人的物理骚扰

STEVE

(1)持不同政见者在中国就是政治犯。(2)最烦那种动不动说别人五毛，或者动不动说人是愤青的人。

27楼 大 中 小 发表于 2010-3-11 12:20 只看该作者

引用:

原帖由 飞牛 于 2010-3-11 11:52 发表

这一计划如果实施，将会刺激gfw的进化，不过依然是一件好事

只是希望作者提放孙飞虎、老夫人的物理骚扰

自我进化，越来越像 黑客帝国了！

天网。。

george

思想罪在逃犯 大洋之声轮值DJ

28楼 大 中 小 发表于 2010-3-11 12:51 只看该作者

西厢 - 嗯，名字起的真好：）

但不是很看好技术方面，感觉任何不加密的技术迟早还是要被gfw干掉的。我认为与 gfw 的较量可能的转机是 -

在墙外的政府以及网民的大幅关注和同情，使得墙外的接应节点激增，并且与正常的商业节点无法分开，使得 TG 面临除非断网，否则无法阻止翻墙的困境，最终导致

gfw 崩溃 - and so does the stupid TG gov

ciscoxp

29楼 大 中 小 发表于 2010-3-11 12:53 只看该作者

估计GFW也会跟着升级，最终是技术实力的比拼。

kikikuku

30楼 大 中 小 发表于 2010-3-11 13:01 只看该作者

强大,喜欢.好用啊

mcgeek

31楼 大 中 小 发表于 2010-3-11 16:17 只看该作者

为了穿墙装一个Linux没啥必要

偶佯疯

我是个读书人

32楼 大 中 小 发表于 2010-3-11 16:19 只看该作者

不懂纯路过，但很期待

szdos

33楼 大 中 小 发表于 2010-3-11 16:40 只看该作者

引用:

原帖由 george 于 2010-3-11 12:51 发表

西厢 - 嗯，名字起的真好：）

但不是很看好技术方面，感觉任何不加密的技术迟早还是要被gfw干掉的。我认为与 gfw 的较量可能的转机是 -

在墙外的政府以及网民的大幅关注和同情，使得墙外的接应节点激增，并且与正 …

orz，这个软件不需要通过节点的，直接就是你的电脑直接与墙外被封主机通信，而且GFW会以为你的通信是合法的。例如你使用这个软件后访问youtube，软件让GFW以为你访问的不是youtube….

iridiumcao

34楼 大 中 小 发表于 2010-3-11 17:28 只看该作者

引用:

原帖由 杂食 于 2010-3-11 01:38 发表

目前还没有windows版本

嗯，我在想在目前没有windows版本的情况下，开发队伍能否制作一些配置好西厢的Linux虚拟机镜像发布，vm的，vb的，kvm的等等镜像，让用windows的兄弟直接下下用。

iridiumcao

35楼 大 中 小 发表于 2010-3-11 17:29 只看该作者

引用:

原帖由 mcgeek 于 2010-3-11 16:17 发表

为了穿墙装一个Linux没啥必要

在Win上用虚拟的linux如何？

id已被绿坝屏蔽

闃呭悗鍗崇剼

36楼 大 中 小 发表于 2010-3-11 17:31 只看该作者

引用:

原帖由 iridiumcao 于 2010-3-11 17:28 发表

嗯，我在想在目前没有windows版本的情况下，开发队伍能否制作一些配置好西厢的Linux虚拟机镜像发布，vm的，vb的，kvm的等等镜像，让用windows的兄弟直接下下用。

有WIndows版本下载。只不过需要自己折腾DNS解决方案。

鬼鬼

宽容、理性、建设

37楼 大 中 小 发表于 2010-3-11 17:47 只看该作者

用了这个东西，被封了ip的站点还是不能访问的对吗

那也太不适合用来翻墙了。。。汗

okkokk007

“华风之弊，八字尽之：始于作伪，终于无耻。”——严复

38楼 大 中 小 发表于 2010-3-11 18:28 只看该作者

引用:

原帖由 张书记 于 2010-3-11 09:22 发表

搞大搞强。

嗯，搞成无法封堵的大路货。。。

发条人

39楼 大 中 小 发表于 2010-3-12 09:00 只看该作者

Linux…..哎。

shanyun

40楼 大 中 小 发表于 2010-3-12 09:33 只看该作者

引用:

原帖由 okkokk007 于 2010-3-11 18:28 发表

嗯，搞成无法封堵的大路货。。。

最好山寨化，装机商都给装一个，自动升级功能。嵌入浏览器脚本，不单独出安装程序

kevin20700

41楼 大 中 小 发表于 2010-3-12 09:51 只看该作者

支持,很期待!!!!!!!!!!!!!!!!!

DaemonEye

不河蟹的围观团团员

42楼 大 中 小 发表于 2010-3-12 11:47 只看该作者

DNS污染不是可以靠opendns或者8888 8844解决么

清风笑豪情

好读书人

43楼 大 中 小 发表于 2010-3-12 14:02 只看该作者

我感受到閱讀困難。。

蛋蛋儿

土老帽儿

44楼 大 中 小 发表于 2010-3-12 14:59 只看该作者

啥时候能用啊？

花想容

依据用户管理细则，账号永久停用。

45楼 大 中 小 发表于 2010-3-12 16:37 只看该作者

哈哈，有了一个主意

西厢计划的平台实现在 Linux 上，大家不是担心不容易推广么，没事，不需要推广到用户的桌面系统。用户继续用 Windows

好了。只需要一部分热心的技术人士，把自己的Linux机设置成路由，然后用无线卡提供AP，就可以造福附近的童鞋啦。我们就叫它 Rogue Wi-Fi AP

好了，等于是一个代理。

在大学校园安装一批这样的 Rogue Wi-Fi AP，查谁去？

caesarTang

46楼 大 中 小 发表于 2010-3-12 19:05 只看该作者

make失败

没有makefile文件

花想容

依据用户管理细则，账号永久停用。

47楼 大 中 小 发表于 2010-3-12 19:13 只看该作者

回复 46楼 caesarTang 的话题

什么分发上，Ubuntu？

核子力量

Twitter.com/hzpower

48楼 大 中 小 发表于 2010-3-12 19:18 只看该作者

引用:

原帖由 DaemonEye 于 2010-3-12 11:47 发表

DNS污染不是可以靠opendns或者8888 8844解决么

只靠那个解决不了

chiceren

49楼 大 中 小 发表于 2010-3-12 19:33 只看该作者

很强大呀，哈哈~，思路很好，不过技术还不成熟。继续等待正式版本~

hikui

50楼 大 中 小 发表于 2010-3-12 19:40 只看该作者

校园网内测试失败。

另外，如何删除？现在正常访问google都不行了。

66 12››