西厢计划之延续 - Your State is Not Mine

由于新用户限制, 我不能在这里发出全文, 请去

读翻译版本。

phantomsocks 是文中提到的 desync 方法的另一个实现,可以规避 (同样使用 TCP 重置攻击的) SNI-based HTTPS Filtering,支持 Linux / MacOS / Windows 。

3 Likes

确实是,这样等于是实名翻墙。

代理工具也可以修改 packet 来躲避 GFW 的监视。

请看原文中 INTANG 部分,使用 TCB Teardown 后 Tor 网桥被探测,屏蔽减少许多。

如果 GFW 认为连接已经断了(GFW 上: 此连接的 TCB 被客户端发送的特殊包拆除),更不会去记录流量,更别提主动探测了。

只不过这个需要 root 权限(或者其他系统中的管理员权限),好处是不需要依赖服务器。

我也分享一个,Geneva,这个可以自动试探出反审查的方法。

https://www.iyouport.org/报告:中国的防火长城已经封锁加密服务器名称指/

只不过,这篇文章下方的评论上说了,Geneva 试出的几种方法都很快失效了,所以 phantomsocks 这种公开的方法并不是很好,容易被封锁,如果是用 Geneva 试出一些方法,然后自己用,不公开的话,就不容易被封锁,只不过需要一台墙外服务器,因为流量必须过墙才能试探GFW。

1 Like

他们设置了多个位于美国的 Tor 网桥,分别用中国多地的 Tor 客户端「裸连」和「使用 INTANG 工具修改 TCP 包连接」并生成流量。

前者服务器在 2 天内受到了主动探测并被屏蔽,后者: 100 % 的服务器都没有被屏蔽。

TCB 是 TCP Control Block, GFW 看到 连接开始(客户端发送 SYN 包)时会建立的「档案」,为了伪造客户端以为来自服务器 RST 包, GFW 需要使「档案」和客户端与服务端的 TCP 状态同步。

RST 仅在 GFW 判断 TCP 状态是 ESTABLISHED 才会发送。

1 Like

INTANGGenevaSymTCP 都需要 netfilter。

他们在 Linux 平台运行。

奇客Solidot | SymTCP:自动化规避深度包检测 -

1 Like