« 修正Quicksilver的Trigger"无法保存"问题 | Main | 五毛的末日 »

"原理小解"读后感

作者:virushuo 发表于 2010-03-15 11:03 最后更新于 2010-03-15 11:03
版权声明:可以任意转载,转载时请务必以超链接形式标明文章原始出处和作者信息及本声明

强烈推荐阅读youxu这篇原理分析的文章,写得相当好懂,读的过程中解答了我两个疑问,读完想明白了,写这里做笔记了。

一 墙是不是经过简单升级就可以对付西厢

西厢其实并没有对墙做任何事,只是巧妙的利用了TCP协议的规则。正如墙利用了三次握手的不校验这个特点(这不是漏洞,而是特点)强行插入reset包一样,西厢也利用了这个特点,让客户端和服务器发送出了墙希望看到的数据包。这里的强大之处在于,一切都是在规则之内的。所以说,如果我们从更高的角度看来,墙和西厢是一种东西,TCP协议如果进行了校验,那就不会有西厢,同样也不会有墙。如果没有墙,也不会有西厢这种用法。

二 墙能用什么办法来对付西厢

TCP协议的三次握手而不校验,留下了可以被强行插入包这个弱点,产生了墙。这个地方这样处理的原因主要是为了性能。TCP是一种高性能协议,所以必须以信任为基础,不能做太多的干涉,否则性能就会大大下降。所以我们目前采用的TCP协议都不对包做什么校验。如前面所说,西厢同样利用了这个特点来获得所需要的数据包。墙如果想知道那些连接是真的断开,哪些是被西厢模拟断开,就必须维护连接状态,进行深度包检测。这样一来效率就会大大下降。众所周知,如果一个系统中存在一个点,可以令系统性能大大下降,会出现什么结果

三 其他系统是否有移植机会

从现在的情况看来,代码并不复杂。整个系统的难度其实在于对TCP协议的深入了解,对墙工作原理的深入了解。这些部分完成之后,原理并不复杂。

可以把目前的alpha版本看作一份用代码写成的论文,其中是详细的论证过程。从代码的wiki看来,原作者据说不继续开发了,不过没关系,论文写完了,其实也就不需要他们那么nb的人来写产品了。您总不指望着科学家来做产品吧?

至于最终的产品,就期待别人了。熟悉网络开发的人,估计很快就可以写出来各种版本了。期待。

不知道我说的对不对,欢迎大家讨论。

相关文章:

Posted by virushuo on March 15, 2010 11:29 AM |

Comments

解惑,我最怕的就是 GFW 升级一下就死了;“一切都在规则”之内,很强大,估计某些技术人员开始抓狂了。

Posted by: 笨乌不飞 | March 15, 2010 12:05 PM

已经出现Windows的初步实现: windows移植初步完成(r49) http://goo.gl/UDZp 开发者fuyuchen945 ( @fuyuchen945 ?)

Posted by: lordhong | March 15, 2010 12:07 PM

个人猜测他们还是有魄力为了过滤而拖慢整个系统的速度的。

Posted by: Roar | March 15, 2010 12:09 PM

这三点,基本都同意。
移植到 mac 应该是很容易的,希望不要比 windows 版出来得还晚

Posted by: scalarize | March 15, 2010 12:14 PM

不是墙不愿意补上这洞,实际上我们说的墙和真正的防火墙是有非常大的区别,真正的防火墙是在线部署的方式,就是串接在链路上。而GFW其实一个旁路的IDS,通过reset包来进行阻断,所以它并没有像真正的防火墙一样维护一个状态表,所以可以采用西厢计划中的方式绕过。如果GFW为了补上这个洞采用串接的部署方式基本上是不可能的,目前防火墙根本无法达到这个性能要求,而且阻断策略的配置也异常的麻烦。
这个计划应该会给墙带来非常大的麻烦,除非它全部转向路由黑洞方式来处理,但这样也只能封IP不能阻断关键字。

Posted by: Anonymous | March 15, 2010 12:30 PM

他可以只对特定IP做深过滤的,性能不会有太大影响。DDOS的话大不了随机忽略一些连接,你不可能永无止境的DDOS的。而随机翻不了墙,其实他的目的还是得逞了。。因为他不是想彻底让你翻不了,而是想让你翻得烦了,让大多数老百姓不翻。。。况且要拼硬件平头百姓还是比不过政府吧(何况他们是抽百姓的人头税。。)
更关键的是墙的机制是猜出来的,而西厢的逻辑已经公开了。
要防深过滤还是要加密。。。他全深过滤让出境网速都慢得要死,还把这错赖到翻墙的geek们头上,结果更惨。。

Posted by: hawk | March 15, 2010 12:32 PM

虽然看不懂但很兴混!

Posted by: Anonymous | March 15, 2010 12:38 PM

岂能音声音微小而不呐喊?孟姜女哭倒长城也是有先例的。

Posted by: darasion | March 15, 2010 1:41 PM

墙技术上没有办法,可以在法律上发起攻击,西厢计划的参与者会不会被抓起来?

Posted by: athensBird | March 15, 2010 2:27 PM

墙内广大淫民期待可以WINDOWS下的通用版,毕竟会用linux或者有钱置办mac的人不多哇

Posted by: 曙光再现 | March 15, 2010 2:57 PM

阵痛期总是有的永远支持。

Posted by: bob.yao | March 15, 2010 3:30 PM

在ipv6面前一切都是尘埃。

Posted by: mgrk | March 15, 2010 10:11 PM

没有永远的墙

Posted by: baijiaixing | March 20, 2010 11:53 PM

Post a comment


Search

Google
Web blog.devep.net
about me:
me.jpg

最近发表

Categories

Archives

我推荐的

订阅

Subscribe to this blog's feed
[What is this?]

抓虾
订阅到有道阅读

Subscribe in NewsGator Online
Add to Google
Subscribe in Bloglines
CC License. Some rights reserved.
署名·非商业用途·保持一致
本站之所有未作特别说明的内容均使用 创作共用协议.
POWERED_BY_MT_3.2