已经结束了！！

Mar 21, 2010
深入理解GFW：结论

作为深入理解系列最后一篇，有好几个平行的话题在这里一并讨论了。

西厢的弱点和局限
首先泼一盆冷水。

西厢远没有你们想象得那样强大，它有很多弱点和局限：

对IP封锁无效。比如加载之后也不能访问twitter.com。
对无状态的TCP阻断无效。比如有一段时间的docs.google.com:443。
不稳定。不少用户反应使用时有时候仍然会连接被重置。
受环境影响大。因为要求网络中间节点都遵守RFC，不少NAT内网用户无法使用，装了防火墙也可能造成无法使用，在虚拟机内开启也可能无法使用。
安全性没有改善。用户的通信仍然是原样，明文仍然是明文，被动监听设备依然正常截获用户的通信。
受制于GFW的变动。GFW指纹逻辑比较复杂，只能通过硬编码来描述。如果GFW更新工作方式细节，那么匹配模块就需要重写更新才能使用。
另外，有ipv6线路的用户访问Youtube不需要使用西厢。
而它的优点是，免费，无中转性能开销。因此，到发布为止，只想到Youtube最大地展示了它的优点而较少受到缺点影响。而产生幻觉，只看到优点看不到缺点是多数人会犯的错误。

西厢是什么不是什么
西厢提出的是一种技术而不是一种资源，因此没有西厢客户端一说，也不存在被封。西厢所做的只是指出了墙上本来存在的裂缝，而且这个裂缝是可以利用的。

之前我们说过：其他一些低成本但有一些缺点的方法也暂时作为折中而继续存在研究价值。私有SSH代理和私有VPN才是当前状况下的最优解决方案，但是由于这两种方法有较高的成本。西厢不会也不能替代私有SSH代理和私有VPN在翻墙中起到的作用。西厢不是对GFW的银弹。GFW是一个复杂的系统，不存在对它的银弹。

0.0.1版的发布是面向开发者的，完全没有考虑用户体验。原开发组没有任何继续开发的计划，没有任何移植的计划。任何继续的开发和移植是所有后来人的功劳。

西厢的开发有多难？有人拿毕设来与之相比，这有点不可思议。事实上，西厢的原理部分一年前就完成了，主要依据就是T. Ptacek的那篇论文，实验结果也很好。而最终的netfilter实现者说他花了一周时间看内核代码netfilter那部分，然后就着现成的代码直接改成现在这个样子了。难吗？为什么西厢压了一年没有发出来？在这一年中，

这样一些系列从零到有的文章，是要展示一种对GFW进行全面理解的学习过程和方法，表达一种对GFW进行逆向工程的趣味。读者不应该仅仅作为一个信息的接收者，而是应该有自己积极的思考。如果读者中有百分之一开始自己思考关于GFW的问题，千分之一开始自己动手研究GFW，如果有万分之一开始将原理付诸实践，那就是很好的结果。如果所有人都只是伸手而没有动力去自行了解GFW，那么就只会让GFW越来越强大，而自己被动挨打被GFW追得到处跑。GFW在背后技术力量的推动下变动不居，不断地被更新、不断地发生变化，对GFW永远正确的认知或者一劳永逸的翻墙方法并不存在，只有与之对抗的方法和学习动力能留存下来。……

西厢的提出就是为了说明，GFW也远没有你们想象得那样强大，而是充满了漏洞。只要你敢于动手，就一定有所收获。请记住，西厢是个tech demo，发布出来不是给你用的，而是给你研究的。如果你认为你的能力不比哈工大、北邮那些筑墙的学生差，那么请你体现你的存在。

GFW如何应对西厢的挑战
不说非常困难，解决西厢揭示的漏洞也不是一件简单的事情。

首先，GFW的规模极为庞大，这给打补丁的难度带来了本质的变化。如果是一个一般小型网络出入口上部署一台主机做的IDS，给TCP栈打补丁还相对容易。而在分布式和并行计算的体系结构下，在几千个计算节点的规模上做任何事情都不容易。

其次，GFW的设计思想从一开始就没有重视完备性。以前已经讨论过了，GFW很多模块的设计给人这样的感觉：得过且过，刚好可以工作。而且这些问题实际上很久都不修复。比如这次西厢展示的这个漏洞，其原因来自GFW的多线程TCP栈还原全连接时，将通信分成两个half_stream处理，从而避免数据共享控制造成的锁开销的做法。往好的方向看，这可以在性能上带来提升，以完备性的损失换来计算的简化也是一种实用主义哲学。往坏的方向看，这就打开了漏洞的大门。这也就意味着，GFW面临这种的情况：修补漏洞，性能大幅下降；完善TCP栈，性能急剧下降。

然后，GFW完全修复漏洞的难度很大。按照Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection一文的结论，如果NIDS的TCP栈与两端的TCP栈有不一致，就会存在可以用的漏洞。何况GFW这种简陋的TCP栈，可以说漏洞百出。我们曾经枚举过，有一百多种报文的字段组合可以实现当前这种效果。如果GFW不完全重写其TCP栈以符合RFC，那么像西厢展示的这么简单易用的漏洞还会有不少。即使GFW实现了RFC完备的TCP栈，《入侵防御系统的评测和问题》还论证了基于TTL的注入是理论上不可避免的。

最后，GFW的研发运维实力很成问题。首先已知，有不少学生在参与GFW的研发，而GFW的模块质量参差不齐正反映出其研发能力不足的状况。GFW的质量控制也应该是很有问题的，2007年7月17日GFW造成的全国性邮件事故处理之缓慢，让人对GFW的运维能力产生很大的疑问。

总之，GFW的屁股比微软还大，懒得挪。

对GFW进行DDoS
我们一直不提这件事情。DDoS有很多问题。

首先，DDoS是一个脏活。DDoS首先需要组织botnet，这种事情跟贩卖人口差不多，低级。

其次，DDoS在任何国家都是非法的。2009年5月19日民用DNS攻击案，四个脚本小子荣获“破坏计算机信息系统”奖章。GFW可是号称国家信息海关、国家信息安全基础设施，攻击它，万一被抓了人命事儿小，你的开源项目没有人继续帮你做，多郁闷啊。

再次，DDoS在战略上只会产生负面结果。在这个拔网线司空见惯的时代，推倒GFW，不但不会改善互联网审查的状况，反而可能造成实名制和金盾的崛起—— 一帮只会整人不懂技术的胡乱拔网线、军管互联网。《总论》就已经说过，双方需要的是一种斗争状况下的动态平衡。大家都得过且过，退避三舍，网民翻墙有方，GFW对上面有交代，就行了。最多偶尔之偶尔，逢年过节，比如国庆或者春节的时候，DDoS开个口子让大家出去遛一遛。

当然，虽说问题多多，DDoS的可行性还是有的，GFW的计算规模总归还是有限的。2010年1月3日前后的“解封”据说就跟GFW北京被DDoS有关系。不过也不会详细讨论其方法，只是小字提一下……组织DDoS，先要对全国的网络拓扑很清楚，这就涉及网络测量的课题；也要对GFW的结构了解得很透彻，弱点在哪里，负载均衡算法是怎样的；怎样做最有效，是点射还是温水煮青蛙；怎样反反DDoS，怎样空对空射击。这些都需要学习。其次，DDoS的效果需要一套精细的评估体系，如果不成功需要快速改变策略。GFW不是常规的服务器，成功与否并不是那么显著。因此需要建立一个监测网，在全国不同的ISP对 GFW的多种指标实施实时观测。比如不同协议下的阻断响应延迟，TCP的SYN超时和ACK超时时间，各个DNS服务器污染的情况，窗口值的增速等等。所以说这个事情要做也不简单。顺便一提，这个监测网所用监测工具，我们最初给它命名为Collaborative Network Measurement Toolkit for GFW，简写为CNMTG；当然了，这是一个自命名完成之后就停止开发的雾件。

结论的结论
对于普通用户来说，未来的翻墙方式中，我们最推荐私有SSH代理和私有VPN，在安全性和稳定性上有优势，组队合购VPS或独立主机建VPN更好。

批评家们，请正确对待参与GFW建设的技术人员。技术是中性的，是无罪的，只不过技术为政治所利用。GFW的确在防控蠕虫病毒和垃圾邮件上有重要作用。至于方滨兴院士，他更像是一个营销人员或者政客而不是科学家。

每个国家的老大哥都有一样的爱好，就是以国家安全的名义无限扩张权力。米帝用来做网络深度检测的CNCI，预算300亿刀，是GFW、金盾的多少倍？没有那个局的全球阴魂你感觉到了吗？唯一的区别在于，我朝的老大哥做事情太笨拙没下限让普通人也能看出破绽，而资本主义国家的自由民在恐怖中投靠老大哥的无限权力。赛博朋克的曙光还有很久才能看到，对抗前赛博朋克旧势力需要megacorp更快速地成长，所以Google你需要do evil的时候一定不要犹豫。

工信部你好，我们建议：把网络封锁的过程规范化透明化，细化封锁规格和标准，制约滥用和不懂业务胡乱封锁，开放申诉渠道，允许网站自查自纠，一切依法进行。看在我们没有直接往贵部直属单位门面上喷漆的份上，这个建议还是有诚意的吧？

Greetings fly out to tek4, KLZ毕业, iGFW, nust-, 店长, r007, r008, t00ls, em777, eviloctal, ZWA, Tor project, i2p, 会長.

读者们，看到这里之时，我们已经解散了。祝大家……

目前刚刚完成windows下的移植，稳定性方面还有待完善，大家可以稍等一下。

具体地址：http://code.google.com/p/scholarzhang/

http://www.rmdown.com/link.php?hash=1016ba5d88239ce8a890b2205cea3a6da7af538a682

工行：

http://www.rayfile.com/zh-cn/files/73dfaf28-20fe-11df-8146-0015c55db73d/

北影：

http://www.xun6.com/file/2514bfd20/%E5%8C%97%E4%BA%AC%E7%94%B5%E5%BD%B1%E5%AD%A6%E9%99%A2%E5%BC%A0%E9%9B%85%E8%8C%B9%E4%B8%8E%E7%94%B7%E6%9C%8B%E5%8F%8B%E8%87%AA%E6%8B%8D%E6%B5%81%E5%87%BA%28%E9%AB%98%E6%B8%85.%E5%9B%BD%E8%AF%AD%29.mp4.html

http://72.21.206.75/

GFW第一招：域名劫持！（离别钩）

举个简单的例子，Google搜索引擎大家都很熟悉；众所周知，Google的全球通用域名是Google.com，但是你可以在你的浏览器里面打开看看，一般的可能要骂我，这不是能打开嘛！但是仔细看看浏览器上的地址却变成了Google.cn！意思就是DNS查询的Google.com的IP变成了 Google.cn的IP！没错，恭喜你被劫持了！

GFW第二招：封锁IP！（霸王枪）

著 名的明星刘德华大家是如雷贯耳吧，（某看客：这小子疯了，GFW和刘德华有几毛钱的关系啊，擦）可是可爱的同胞们，刘德华的官网：andylau.com 你们能打开吗？港澳台地区和使用代理的童鞋请shut up。我想大部分是打不开的吧。难道刘德华的官网是宣传XX功的？还是提供色情服务的？其实是因为202.134.71.244这个服务器上一个BBS被封闭了，导致GFW直接封闭了该IP。连带着刘德华的官网也打不开了……套用易中天的一句话：悲剧啊！这，就是传说中的国家入口网关IP封锁。

GFW第三式：主干路由器关键字过滤阻断！（碧玉刀）

早在2002年，天朝就研制出一套关键字过滤系统，并规定各个因特网服务提供商必须使用，这套系统我是没有见过，也不可能见过。但是其他类型的过滤系统我却是用过两个：“一流信息监控管理系统”和“华盾”。只要服务器上站点的内容有和这两套管理系统的关键词列表中雷同的，该页面必然无法正常打开，灰常强大的说。不过据说天朝研制的那套系统是由Cisco（思科）公司为天朝特别定制的数据包级别的内容过滤路由器（content filtering router）；该系统可以从网络系统中的关键点，例如国家级网关采集数据并进行数据的分析，过滤。一旦含有其关键词列表中的关键词，就会向客户端和服务端的计算机发送Reset packet，干扰两者正常的TCP连接，从而使数据通信中断，那么，终端机必然连接失败。不过，GFW也不是可以100%的过滤成功，有时候多刷新几下还是能打开的，例如my.opera.com

GFW第四式：HTTPS证书过滤（多情环）

部分人发现少数特定证书的传输被阻断，导致HTTPS连接中断。由于HTTPS本身的特点，这并不意味着与网站传输的内容可被破译。

GFW第五招： 对破网软件的反制 (孔雀翎)

针对网上突破防火长城的各类破网软件，防火长城也在技术上做了应对措施以减弱破网软件的穿透能力。比如每年的特定关键时间点，无界等软件就可能会无法正常连接或连接异常缓慢，这时境内外的正常网络互联亦会受到干扰。

针对Tor，有分析认为中国大陆公安网络审查部门采取了新的封锁措施——建立虚假Tor节点。鉴于无法真正的完全封锁Tor，网络安全部门在中国国内网络中安装了大量虚假 Tor节点服务器，所有经过这些”节点”的信息都将被最大程度的审查，与此同时，所有到达这些虚假节点的网络请求都将被屏蔽。有意见认为因为此举会暴露防火长城的位置，中国大陆公安网络审查部门对虚假节点的设立有所节制。但另一方面，tor节点的大量增加很可能仅仅是因为国内用户增加的缘故，即使存在有虚假节点，对于使用图形界面Vidalia的用户也可以轻松将含有境内节点的路由删除，以确保安全。

GFW第六招：对电子邮件通讯的拦截（长生剑）

2007年7月17日，大量使用中国国内邮件服务商的用户与国外通信出现了退信、丢信等普遍现象，症状为：

中国国内邮箱给国外域发信收到退信，退信提示“Remote host said: 551 User not local; please try ”

中国国内邮箱用户给国外域发信，对方收到邮件时内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。

中国国内邮箱给国外域发信收到退信，退信提示“Connected to ***.***.***.*** but connection died. (#4.4.2)”

国外域给中国国内邮箱发信时收到退信，退信提示“Remote host said: 551 User not local; please try ”

国外域给中国国内邮箱发信后，中国国内邮箱用户收到的邮件内容均为“aaazzzaaazzzaaazzzaaazzzaaazzz”。

对此，新浪的解释是“近期互联网国际线路出口不稳定，国内多数大型邮件服务提供商均受到影响，在此期间您与国外域名通信可能会出现退信、丢信等现象。为此，新浪VIP邮箱正在采取措施，力争尽快妥善解决该问题。”而万网客户服务中心的解释是“关于近期国内互联网国际出口存在未知的技术问题导致国内用户与国外通信可能会出现退信、丢信等普遍现象，万网公司高度重视，一直积极和国家相关机构汇报沟通，并组织了精良的技术力量努力寻找解决方案。”

有网友推测由于GFW会过滤进出邮件，当发现敏感（关键）字后往两边各发送三个伪造的reset断掉连接，通常都发生在数据传输中间，所以会干扰到内容。

GFW第七招：无招生有招（拳头）

为什么这么说呢，因为GFW还会更加的完善，功能日益强大，以后翻越该墙的难度将继续增大， 而翻墙软件也会越来越强大，矛和盾之争还将继续。但是，柏林墙都被推倒了，GFW还远吗？

翻越GFW第一招：无（和谐）界浏览器。目前最新版本是9.8版。效果很好。简单易用。下载地址请自行寻找办法，我还不想我的主机空间被封闭。

翻越GFW第二招：Tor（洋葱路由），首先下载火狐浏览器3.0版本，注意版本不能高于3.5！然后去下载火狐的插件：foxyproxy- 2.8.5，用火狐安装这个插件后，打开安装下载到的TOR，在setting中调整语言为中文，然后点击“我的ISP阻断了我和TOR的连接”钱的复选框，然后给 bridges@torproject.org这个地址发一份EMIAL，主题为get bridges,内容随意～收到3个地址后依次添加bridge，然后重启TOR，在火狐的foxyproxy插件中选择“为所有url启用代理服务器 TOR”即可。详细过程还是请百度或者google。

翻越GFW第三招：WEB代理。如今漫天的代理，找一个应该不难～

翻越GFW第四招：VPN，这个成本比较高，必须在海外有提供VPN的服务器。一般不做考虑。