http://blog.youxu.info/2010/03/14/west-chamber/ I am Eric Xu, a Googler. Wed, 08 Feb 2012 04:38:30 +0000 hourly 1 http://wordpress.org/?v= http://blog.youxu.info/2010/03/14/west-chamber/#comment-8917 GWeekly[5] = 安心安心 – 我住包子山 Mon, 15 Aug 2011 01:09:27 +0000 http://blog.youxu.info/?p=1065#comment-8917 [...] “西厢计划”原理小解|xuyou 讲解的很明白了, 重看了一遍”掉进读书的兔子洞”. [...] [...] “西厢计划”原理小解|xuyou 讲解的很明白了, 重看了一遍”掉进读书的兔子洞”. [...]

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-8915 西厢计划第三季 – Ignore the Great Firewall « liruqi的寻梦记 Fri, 12 Aug 2011 08:03:27 +0000 http://blog.youxu.info/?p=1065#comment-8915 [...] server, and Mr. zhang is trying to save reuse the connection after server received RST package(ref), 我估计 CUI 也是在尝试做类似的事情. The limitations are summarized in [...] [...] server, and Mr. zhang is trying to save reuse the connection after server received RST package(ref), 我估计 CUI 也是在尝试做类似的事情. The limitations are summarized in [...]

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-8870 qq405165798 Tue, 24 May 2011 03:06:49 +0000 http://blog.youxu.info/?p=1065#comment-8870 精彩. 精彩.

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-8557 jiehanzheng Fri, 31 Dec 2010 13:26:43 +0000 http://blog.youxu.info/?p=1065#comment-8557 很通俗易懂，谢谢~ 很通俗易懂，谢谢~

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-8470 BBF网志周摘【2】 « Babyfacer Kaleidoscope Tue, 16 Nov 2010 07:34:38 +0000 http://blog.youxu.info/?p=1065#comment-8470 [...] “西厢计划”原理小解：http://blog.youxu.info/2010/03/14/west-chamber/ [...] [...] “西厢计划”原理小解：http://blog.youxu.info/2010/03/14/west-chamber/ [...]

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-8176 sdfsdf Mon, 20 Sep 2010 02:22:05 +0000 http://blog.youxu.info/?p=1065#comment-8176 还是只有VPN才是王道啊 还是只有VPN才是王道啊

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-7803 » 西厢计划很好很强大，GFW还能拿什么来应对？ PS' Blog Thu, 15 Jul 2010 11:14:25 +0000 http://blog.youxu.info/?p=1065#comment-7803 [...] ` 我看了西厢计划项目的wiki还是云里雾里的，好在youxu大大的西厢计划原理小解解释的非常清楚，在这里我也简单归纳一下，西厢计划就是在TCP建立连接之初通过插入发送完全符合协议的TCP包欺骗GFW连接已经终结，来达到穿墙的目的。原理据说如下图。 ` 根据“原理”的说法，张生同学实际上是利用了GFW本身的特性。（事实上，墙可以视作一种网络入侵检测系统，有着所有NIDS系统的弱点。）因为性能原因，墙作为一个旁观者，它无法做到对每一条TCP包都进行检查来过滤敏感词汇。tek4小组的大牛们，据说也就是西厢计划的探索者，经过长时间对墙的研究，发现墙很聪明地只会在连接发起的时候进行检测。 ` 这样做是可以说的通的。中国的出国带宽应该早已破T，如果墙需要检查所有的TCP包，会是很大的负担。所以墙才会检查TCP会话的状态，当发现是死老虎状态时，直接放跑所有后继TCP会话。 ` 然而我有一个百思不得其解的问题让我怀疑墙是否只在连接发起时进行过滤。我做了两个测试： 我建立了一个网页http://test.app-base.com/link.html，这个网页中含有falun词汇，并且有一个链接访问”/?falun” 测试1. 访问link.html。结论正常。 测试2. 访问link.html，再点击falun链接，结果被重置。 ` 测试一结束后，我和服务器已经完成了三次握手，并且有来有回地发送了GET和获取了网页，这个时候我还有keep-alive属性，根据我对http 1.1的理解，这时候并没有终止TCP连接，而是立即回应了另一个请求，但是这个请求却被墙重置了，所以墙只在TCP连接发起时进行过滤这个说法我觉得有 问题。当然我对网络协议还是很一知半解的，有说错的话请及时更正我，谢谢。 ` 按照我的上述实验来看，墙并非只在TCP连接发起时进行过滤，而是对每一个TCP包都做检查，发现是GET请求就进行过滤，发现是回应则PASS（至少测试1没有被过滤，如果它扫描的话那就说明基于不同规则。） ` 然而西厢计划的成功实施，说明墙是保存连接信息的，所以它在记录两个主机的连接“终止”以后，放跑了所有这两个主机间的流量。那么关键的问题是，如果墙取消这么一个设定，不“放跑”已经“终止”的两个主机之间的流量，会对墙造成很大负担吗？ [...] [...] ` 我看了西厢计划项目的wiki还是云里雾里的，好在youxu大大的西厢计划原理小解解释的非常清楚，在这里我也简单归纳一下，西厢计划就是在TCP建立连接之初通过插入发送完全符合协议的TCP包欺骗GFW连接已经终结，来达到穿墙的目的。原理据说如下图。 ` 根据“原理”的说法，张生同学实际上是利用了GFW本身的特性。（事实上，墙可以视作一种网络入侵检测系统，有着所有NIDS系统的弱点。）因为性能原因，墙作为一个旁观者，它无法做到对每一条TCP包都进行检查来过滤敏感词汇。tek4小组的大牛们，据说也就是西厢计划的探索者，经过长时间对墙的研究，发现墙很聪明地只会在连接发起的时候进行检测。 ` 这样做是可以说的通的。中国的出国带宽应该早已破T，如果墙需要检查所有的TCP包，会是很大的负担。所以墙才会检查TCP会话的状态，当发现是死老虎状态时，直接放跑所有后继TCP会话。 ` 然而我有一个百思不得其解的问题让我怀疑墙是否只在连接发起时进行过滤。我做了两个测试： 我建立了一个网页http://test.app-base.com/link.html，这个网页中含有falun词汇，并且有一个链接访问”/?falun” 测试1. 访问link.html。结论正常。 测试2. 访问link.html，再点击falun链接，结果被重置。 ` 测试一结束后，我和服务器已经完成了三次握手，并且有来有回地发送了GET和获取了网页，这个时候我还有keep-alive属性，根据我对http 1.1的理解，这时候并没有终止TCP连接，而是立即回应了另一个请求，但是这个请求却被墙重置了，所以墙只在TCP连接发起时进行过滤这个说法我觉得有 问题。当然我对网络协议还是很一知半解的，有说错的话请及时更正我，谢谢。 ` 按照我的上述实验来看，墙并非只在TCP连接发起时进行过滤，而是对每一个TCP包都做检查，发现是GET请求就进行过滤，发现是回应则PASS（至少测试1没有被过滤，如果它扫描的话那就说明基于不同规则。） ` 然而西厢计划的成功实施，说明墙是保存连接信息的，所以它在记录两个主机的连接“终止”以后，放跑了所有这两个主机间的流量。那么关键的问题是，如果墙取消这么一个设定，不“放跑”已经“终止”的两个主机之间的流量，会对墙造成很大负担吗？ [...]

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-7619 Jimmy Fan Fri, 11 Jun 2010 13:00:40 +0000 http://blog.youxu.info/?p=1065#comment-7619 小强那边很容易就分析出来，主要原因在性能方面，我觉得照目前为止 要么大局域网 要么暂时不去管西厢类似方法。 小强那边很容易就分析出来，主要原因在性能方面，我觉得照目前为止 要么大局域网 要么暂时不去管西厢类似方法。

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-7589 李鸟练习簿 » Archives » 八点吃饭是件美事 Thu, 03 Jun 2010 08:22:57 +0000 http://blog.youxu.info/?p=1065#comment-7589 [...] 前几天有人发来一个链接，内容是西厢计划，看了笑了一阵，真是牛逼。详情请看这里。原来都没怎么关注过穿墙，现在发现也很有意思。在misland上做了一个简单的Web代理，还很初步，慢慢完善。 [...] [...] 前几天有人发来一个链接，内容是西厢计划，看了笑了一阵，真是牛逼。详情请看这里。原来都没怎么关注过穿墙，现在发现也很有意思。在misland上做了一个简单的Web代理，还很初步，慢慢完善。 [...]

]]> http://blog.youxu.info/2010/03/14/west-chamber/#comment-7564 对TCP连接被重置解决方案的探究――跨过GFW通向自由网络的可行途径 | 细节的力量 Wed, 26 May 2010 18:49:18 +0000 http://blog.youxu.info/?p=1065#comment-7564 [...] (墙外) [2] “西厢计划”原理小解，http://blog.youxu.info/2010/03/14/west-chamber/ [...] [...] (墙外) [2] “西厢计划”原理小解，http://blog.youxu.info/2010/03/14/west-chamber/ [...]

]]>