FreeOZ论坛

标题: 张生和崔莺莺偷情原理详解 [打印本页]
作者: coredump    时间: 15-3-2010 15:56
标题: 张生和崔莺莺偷情原理详解
[size=1em]FROM: somewhere
[size=1em]待月西厢下,迎风户半开。隔墙花影动,疑是玉人来。
[size=1em]最近推上最流行的一个关键词是”西厢计划”, 这个计划名字取得很浪漫,客户端叫做张生,对,就是西厢记里面那个翻蔷去见崔莺莺小姐的张生;显然,服务器端必然叫做崔莺莺。客户端的张生是最重要的部件,可以不依赖于服务端工作。因为西厢计划的作者只是简要的介绍了一下原理,其他报道又语焉不详,我当时就觉得很好奇,花了昨天一个晚上详细读了一下源代码,终于知道怎么回事了,觉得原理非常漂亮,所以写篇文章介绍总结一下。
[size=1em]先说大方向。大家都知道,连接被重置的本质,是因为收到了破坏连接的一个 TCP Reset 包。以前剑桥大学有人实验过,客户端和服务器都忽略 Reset, 则通信可以不受影响。但是这个方法其实只有理论价值,因为绝大多数服务器都不可能忽略 Reset 的 (比如 Linux, 需要 root 权限配置iptables, 而且这本身也把正常的 Reset 给忽略了)。只要服务器不忽略 Reset, 客户端再怎么弄都没用,因为服务器会停止发送数据,Reset 这条连接。所以,很多报道说西厢计划是忽略 Reset, 我从源代码来看应该不是这样。在我看来,西厢计划是利用了墙的一个可能的弱点–墙只在连接发起的时候把一个 TCP 连接加入监听序列,如果墙认为这个连接终止了,就会从监听序列中去掉这条记录,这样,这条连接上后续的包就不会被监听。西厢计划就是让墙“认为”这个连接终止的一个绝妙的方法。只要墙认为这个连接两端都是死老虎,墙就不会触发关键词检测,其后所有的数据,都不存在连接被重置的问题了。
[size=1em]如何让一个连接置之死地而后生,就是西厢计划那帮黑客神奇的地方了。这也不是一日之功。 首先,这帮牛人发现,墙的是一个入侵检测系统,把含有关键字的包当成一种“入侵”来对待。采取这种设计有很多好处,但缺点是入侵检测系统可能具有的问题,墙都可能有。西厢计划主页上那篇著名的论文就是讲这些七七八八的漏洞的。可以说处理这些七七八八的漏洞是非常困难的,迫使墙的设计者“拆东墙,补西墙”。这样补来补去,外表看起来好像很牛逼的墙,其实有很多本质上无法简单修补的漏洞,其中有一个致命的,就是 TCP 连接状态的判定问题。 出于入侵检测系统这种设计的局限,墙没有,也没办法准确判定一条 TCP 连接的状态,而只是根据两边收到的数据来“推测”连接的状态。而所有的关键词检测功能,都是基于“连接还活着”的这个推测的结果的。因为墙的规则是在连接发起的时候开始对这条连接的检测,在连接终止的时候停止对这条连接的检测,所以,一旦对连接的状态推测错误,把还活着的连接当成已经关闭的连接,墙就会放弃对这条连接上随后所有的包的检测,他们都会都透明的穿过墙的入侵检测。
[size=1em]上面只是想法,具体到 TCP 协议实现这一层,就要只迷惑墙,还不能触及我要通信的服务器。最理想的情况下,在任何有效通信之前,就能让墙出现错误判断,这些,就需要对 TCP 协议有深刻理解了。西厢计划的那帮黑客,居然真的去读 TCP 几百页的 RFC,还居然就发现了方法(这里我假设读者都知道 TCP 的三次握手过程和序列号每次加一的规则)。 我们都知道,三次握手的时候,在收到服务器的 SYN/ACK 的时候,客户端如果发送 ACK 并且序列号+1 就算建立连接了,但是客户端如果发送一个序列号没 +1 的 FIN (表示连接终止,但是服务器知道,这时候连接还没建立呢, FIN 这个包状态是错的,加上序列号也是错的,服务器自己一判断,就知道这个包是坏包,按照标准协议,服务器随手丢弃了这个包), 但这个包,过墙的时候,在墙看来,是表示连接终止的(墙是 ma de in china, 是比较山寨的,不维护连接状态,并且,墙并没有记下刚才服务器出去的 SYN/ACK 的序列号,所以墙不知道序列号错了)。所以,墙很高兴的理解为连接终止,舒了一口气去重置其他连接了, 而这个连接,就成了僵尸,墙不管你客户端了,而这时候,好戏才刚刚开始。
[size=1em]事实上,墙是双向检测的(或者说对每个包都检测的),因此,对服务器和客户端实现相同的对待方法,所以,墙不管客户端还不行,假如服务端有关键词传给客户端,墙还是有可能要发飙的(这里说有可能,因为我也不知道)。所以,最好的办法就是,让服务端也给墙一个终止连接的标志就好了。可是这个说起来简单,做起来难,怎么能让不受自己控制的服务器发一个自己想要的包呢? 西厢计划的那帮黑客,再次去读几百页的 RFC, 令人惊讶的发现,他们居然在 RFC 上发现了一个可以用的特性。我们上面说了,三次握手的时候,在收到 SYN/ACK 后,客户端要给服务器发送一个序列号+1 的ACK,可是,假如我不+1呢,直接发 ACK 包给服务器。 墙已经认为你客户端是死老虎了,不理你了,不知道你搞什么飞机,让这个 ACK 过了。可是服务器一看,不对啊,你给我的不是我期待的那个序列号, RFC 上说了,TCP 包如果序列号错了的话,就回复一个 Reset. 所以,服务器就回复了一个 Reset。这个 Reset 过墙的时候,墙一看乐了,服务器也终止连接了,好吧,两边都是死老虎了,我就不监听这条连接了。而至于客户端,这个服务器过来的 Reset 非常好识别,忽略就是。随后,客户端开始正确的发送 ACK, 至此,三次握手成功,真正的好戏开始,而墙则认为客户端和服务器都是死老虎,直接放过。所以,张生就这样透明的过了墙。 至于过墙以后所有的事情,《西厢记》里面都有记载,各位读者自行买书学习。
[size=1em]现在的西厢计划客户端,即“张生”模块的防连接重置的原理就是这样,服务器端,即莺莺模块的实现也是类似的。防DNS那个,不懂 DNS 协议,所以看不懂。我猜想,因为开发人员都是黑客,所以自然喜欢用最经得起折腾和高度定制的 Linux 开发。 现在看西厢计划的实现,因为依赖于 Linux 内核模块 netfilter, 在 Linux 上如鱼得水,但往其他平台的移植可能是个亟待解决的问题。 我觉得,在其他平台上,可以通过 libpcap 和 libnet ,在用户态实现相同的功能,就是有点麻烦而已,有兴趣的懂网络的可以照西厢计划原理,在家自行做出此功能;当然,全中国人民都用 Linux 最好
[size=1em]PS 1: 据说是西厢计划一个作者画的原理图:http://img.ly/DIi
PS 2: 我对 TCP 的理解仅限于课本,如果上面的对技术的理解有错,请大家指出。
PS 3: 有些漏洞,可能是设计上本质缺陷,不是那么容易修复的。
PS 4: 除了最后一个图,本文没有其他相关链接,如需相关资料,自行 Google。
作者: 清风不写字    时间: 15-3-2010 16:09
如果不能实现在windows上面的傻瓜化,估计也就是搞IT的会用用。
作者: coredump    时间: 15-3-2010 21:05
原帖由 清风不写字 于 15-3-2010 15:09 发表

                               
登录/注册后可看大图

如果不能实现在windows上面的傻瓜化,估计也就是搞IT的会用用。

Windows移植已经初步完成  https://groups.google.com/group/scholarzhang-dev/browse_thread/thread/55fe473897657e22

Mac移植已经开始
作者: Hardthinking    时间: 15-3-2010 22:23
有意思有意思
作者: 薛定谔猫    时间: 15-3-2010 22:49
原帖由 coredump 于 15-3-2010 21:05 发表

                               
登录/注册后可看大图


Windows移植已经初步完成  https://groups.google.com/group/scholarzhang-dev/browse_thread/thread/55fe473897657e22

Mac移植已经开始

而这,仅仅是计划公布不到1周的时间的事情,科学家写出了公式就行了,剩下的就是工程师的事情了,就像爱因斯坦不用亲自弄核反应堆一样
作者: 四香油饼    时间: 16-3-2010 09:23
我有个疑问,原理都公开了,造镪的人不是可以很容易把这个漏洞堵上?
作者: coredump    时间: 16-3-2010 10:34
原帖由 四香油饼 于 16-3-2010 08:23 发表

                               
登录/注册后可看大图

我有个疑问,原理都公开了,造镪的人不是可以很容易把这个漏洞堵上?

2008年7月tek4小组建立:
作为个搞技术的人,我们要干点疯狂的事。如果我们不动手,我们就要被比我们差的远的坏技术人员欺负。这太丢人了。眼前就是,GFW这个东西,之前是我们不抱团,让它猖狂了。现在咱们得凑一起,想出来一个办法让它郁闷一下,不能老被欺负吧。要不,等到未来,后代会嘲笑我们这些没用的家伙,就象我们说别人“你怎么不反抗?”
之后一个月几篇显著的文章出现:译言的《如何忽略防火长城》,周曙光的《Zola教你玩:如何对抗GFW的域名劫持》,Robert Mao的《关于墙的技术讨论》 ,预言“射击墙的理论已经几乎要进入实战”。
之后tek4小组又参与了绿坝娘推倒作战,提供几份重要文档的来源。再之后GFW的实体被匿名网民进一步揭露,方滨兴浮出水面。
时至今日,经过大家的努力,GFW的实体、结构、工作方式、弱点已经全部暴露在阳光之下,穿墙方法和DDoS规划方法也已经成熟。我们作为已经解散的tek4小组的一个分支,研究实际上在很早之前就已经结束,在花费大量时间编写文档、整理文献和验证实验数据之后,终于到了展示实战方法的时候,当初人们提出的设想也在这里得到了令人满意的答复。在这一部分完成之后我们也将解散。
这就是:西厢计划




FROM:(demo@virushuo http://blog.devep.net/virushuo/2010/03/15/post_71.html
强烈推荐阅读youxu这篇原理分析的文章,写得相当好懂,读的过程中解答了我两个疑问,读完想明白了,写这里做笔记了。

一 墙是不是经过简单升级就可以对付西厢

西厢其实并没有对墙做任何事,只是巧妙的利用了TCP协议的规则。正如墙利用了三次握手的不校验这个特点(这不是漏洞,而是特点)强行插入reset包一样,西厢也利用了这个特点,让客户端和服务器发送出了墙希望看到的数据包。这里的强大之处在于,一切都是在规则之内的。所以说,如果我们从更高的角度看来,墙和西厢是一种东西,TCP协议如果进行了校验,那就不会有西厢,同样也不会有墙。如果没有墙,也不会有西厢这种用法

二 墙能用什么办法来对付西厢

TCP协议的三次握手而不校验,留下了可以被强行插入包这个弱点,产生了墙。这个地方这样处理的原因主要是为了性能。TCP是一种高性能协议,所以必须以信任为基础,不能做太多的干涉,否则性能就会大大下降。所以我们目前采用的TCP协议都不对包做什么校验。如前面所说,西厢同样利用了这个特点来获得所需要的数据包。墙如果想知道那些连接是真的断开,哪些是被西厢模拟断开,就必须维护连接状态,进行深度包检测。这样一来效率就会大大下降。众所周知,如果一个系统中存在一个点,可以令系统性能大大下降,会出现什么结果

三 其他系统是否有移植机会

从现在的情况看来,代码并不复杂。整个系统的难度其实在于对TCP协议的深入了解,对墙工作原理的深入了解。这些部分完成之后,原理并不复杂。

可以把目前的alpha版本看作一份用代码写成的论文,其中是详细的论证过程。从代码的wiki看来,原作者据说不继续开发了,不过没关系,论文写完了,其实也就不需要他们那么nb的人来写产品了。您总不指望着科学家来做产品吧?

至于最终的产品,就期待别人了。熟悉网络开发的人,估计很快就可以写出来各种版本了。期待。

不知道我说的对不对,欢迎大家讨论。


作者: alphabeta    时间: 16-3-2010 10:50
作者: alphabeta    时间: 16-3-2010 11:16
期待流氓集团全面IP过滤(白名单?)的正式运行
作者: 清风不写字    时间: 16-3-2010 13:07
标题: 回复 #9 alphabeta 的帖子
会有那么一天的。
作者: coredump    时间: 16-3-2010 14:45
作者: michaelchin    时间: 16-3-2010 14:50
不懂,墙认为连接断了还转发包吗?
作者: michaelchin    时间: 16-3-2010 14:51
哦,我用硬墙的
作者: coredump    时间: 16-3-2010 15:11
原帖由 michaelchin 于 16-3-2010 13:50 发表

                               
登录/注册后可看大图

不懂,墙认为连接断了还转发包吗?
答案在文中
作者: michaelchin    时间: 16-3-2010 15:23
不是墙不愿意补上这洞,实际上我们说的墙和真正的防火墙是有非常大的区别,真正的防火墙是在线部署的方式,就是串接在链路上。而GFW其实一个旁路的IDS,通过reset包来进行阻断,所以它并没有像真正的防火墙一样维护一个状态表,所以可以采用西厢计划中的方式绕过。如果GFW为了补上这个洞采用串接的部署方式基本上是不可能的,目前防火墙根本无法达到这个性能要求,而且阻断策略的配置也异常的麻烦。
这个计划应该会给墙带来非常大的麻烦,除非它全部转向路由黑洞方式来处理,但这样也只能封IP不能阻断关键字。
作者: michaelchin    时间: 16-3-2010 15:24
终于看明白了,说那个墙呢,我还以为说所有的墙呢
作者: michaelchin    时间: 16-3-2010 15:26
人家把路游表一改,世界就清静了
作者: MillerYang    时间: 16-3-2010 15:32
路过学习一下。。。期待卡通解释版
作者: michaelchin    时间: 16-3-2010 15:37
原帖由 michaelchin 于 16-3-2010 15:23 发表

                               
登录/注册后可看大图

不是墙不愿意补上这洞,实际上我们说的墙和真正的防火墙是有非常大的区别,真正的防火墙是在线部署的方式,就是串接在链路上。而GFW其实一个旁路的IDS,通过reset包来进行阻断,所以它并没有像真正的防火墙一样维护一 ...

不是我写的,抄来的
作者: michaelchin    时间: 16-3-2010 15:37
我还以为技术革命呢,白白兴奋了一场
作者: michaelchin    时间: 16-3-2010 15:39
用VPN看youtube不行吗?
作者: coredump    时间: 16-3-2010 15:42
原帖由 michaelchin 于 16-3-2010 14:39 发表

                               
登录/注册后可看大图

用VPN看youtube不行吗?

可以的,移民之后看youtube也行的,连VPN也不用了
作者: michaelchin    时间: 16-3-2010 15:45
原帖由 coredump 于 16-3-2010 15:42 发表

                               
登录/注册后可看大图


可以的,移民之后看youtube也行的,连VPN也不用了

问题是我现在也没看出来youtube有啥好看的
我流量还少,基本不看
作者: michaelchin    时间: 16-3-2010 15:46
英雄能支个招怎么欺骗宽带流量统计吗?
作者: coredump    时间: 16-3-2010 16:17
原帖由 michaelchin 于 16-3-2010 14:45 发表

                               
登录/注册后可看大图


问题是我现在也没看出来youtube有啥好看的
我流量还少,基本不看

那就不看啊,这边很自由的,没人逼着看,我就不常看,起码从来没有逼着自己看

facebook也很少用,twitter从来不用

当然我知道如果我想用,我就可以用,这点比较重要而已
作者: coredump    时间: 16-3-2010 16:18
原帖由 michaelchin 于 16-3-2010 14:46 发表

                               
登录/注册后可看大图

英雄能支个招怎么欺骗宽带流量统计吗?
不去看那个数字,安慰自己流量根本没用完就行了
作者: michaelchin    时间: 16-3-2010 16:20
原帖由 coredump 于 16-3-2010 16:18 发表

                               
登录/注册后可看大图

不去看那个数字,安慰自己流量根本没用完就行了

俺用超了要断网的...
作者: coredump    时间: 16-3-2010 16:21
原帖由 michaelchin 于 16-3-2010 15:20 发表

                               
登录/注册后可看大图


俺用超了要断网的...

那就假装是因为海底光缆断裂了
作者: michaelchin    时间: 16-3-2010 16:23
原帖由 coredump 于 16-3-2010 16:21 发表

                               
登录/注册后可看大图


那就假装是因为海底光缆断裂了

俺是无线宽带
作者: michaelchin    时间: 16-3-2010 16:23
倒是可以假装黑子风暴
作者: coredump    时间: 16-3-2010 16:26
原帖由 michaelchin 于 16-3-2010 15:23 发表

                               
登录/注册后可看大图


俺是无线宽带
难道你的无线是用的卫星?
作者: michaelchin    时间: 16-3-2010 16:34
基站
不知道基站怎么连交换机
作者: klux    时间: 16-3-2010 16:36
原帖由 coredump 于 16-3-2010 15:42 发表

                               
登录/注册后可看大图


可以的,移民之后看youtube也行的,连VPN也不用了


所谓的人肉翻蔷
作者: coredump    时间: 16-3-2010 16:37
原帖由 klux 于 16-3-2010 15:36 发表

                               
登录/注册后可看大图



所谓的人肉翻蔷

是,而且还有趴在墙头等红杏的bonus
作者: Port_1433    时间: 16-3-2010 16:46
帖子前面很有技术含量,后面就越来越有趣了。
作者: coredump    时间: 16-3-2010 16:49
原帖由 Port_1433 于 16-3-2010 15:46 发表

                               
登录/注册后可看大图

帖子前面很有技术含量,后面就越来越有趣了。
各取所需,各连各的port
作者: Port_1433    时间: 16-3-2010 16:56
原帖由 coredump 于 16-3-2010 16:49 发表

                               
登录/注册后可看大图

各取所需,各连各的port


Port生活在于TCP村,和蔷蔷是邻居,不过蔷蔷人家是村支书,Port是一个平头百姓。。。
作者: MillerYang    时间: 16-3-2010 17:11
标题: 回复 #35 Port_1433 的帖子
都分裂了。。。
作者: Port_1433    时间: 16-3-2010 17:25
原帖由 MillerYang 于 16-3-2010 17:11 发表

                               
登录/注册后可看大图

都分裂了。。。


每次看见分裂了这个字眼都会想起很久以前看过的一个笑话:

故事发生在80年代,联合国安委会开完会之后,常任理事国的首领出来召开联合记者会。会上,路边社记者让各位首领用自己身体的一部分形容一下自己的国家的状况。

撒切尔夫人开了个头,上衣一脱,一对大波一抖“英国的经济有波峰有波谷”。
里根裤子一脱,JJ一抖“美元无比坚挺”。
小平上衣一脱,将军肚一抖“中国人民生活富足”。
到了戈尔巴乔夫,裤子一脱,转过身来,PP对着记者,拍了拍“我们苏联。。。。。。分裂了。。。”。
作者: key    时间: 17-3-2010 14:11
不太看好这东西,一个在明,一个在暗,明的永远玩不过暗的。
这个计划是基于GFW运作于无状态监测模式来做的,但事实上,GFW要变成有限状态监测并不难,
多花点纳税人的钱就可以了,这样采购的人高兴,CISCO的人也很高兴。


原帖由 coredump 于 15-3-2010 15:56 发表

                               
登录/注册后可看大图

FROM: somewhere
待月西厢下,迎风户半开。隔墙花影动,疑是玉人来。
最近推上最流行的一个关键词是”西厢计划”, 这个计划名字取得很浪漫,客户端叫做张生,对,就是西厢记里面那个翻蔷去见崔莺莺小姐的张生;显 ...
作者: playbug    时间: 18-3-2010 14:18
标题: 嗨,这麻烦的,机房在哪里整个锤子砸了
没有墙,也就没有翻蔷的乐趣了
所有的墙都有倒的那一天
柏林家的那个破墙不就倒了么

[ 本帖最后由 playbug 于 18-3-2010 14:19 编辑 ]
作者: coredump    时间: 18-3-2010 14:25
标题: 回复 #41 playbug 的帖子
嗯,有道理。

自家院子里的红杏总是不如翻蔷找到的红杏好吃
作者: fred_au    时间: 18-3-2010 19:53
标题: 回复 #40 key 的帖子
监控状态可能会对性能压力太大。。。
作者: pinkladypig    时间: 5-4-2010 09:01
太专业了 佩服佩服
作者: 12qw    时间: 5-4-2010 20:11
这咚咚一般人看不懂
作者: flydragon132    时间: 8-4-2010 00:38
非 IT 的人 飘过 , 并且热切希望自己将来也可以有亲手推墙的一天。



欢迎光临 FreeOZ论坛 (https://www.freeoz.org/ibbs/) Powered by Discuz! X3.2