Desync

TCB脱同步（英語：TCB desync）是一种规避深度包检测的方法。该方法首次在Zhongjie Wang等人的论文Your state is not mine: a closer look at evading stateful internet censorship中提出。其中“TCB”指的是TCP控制块（TCP Control Block），即网络设备记录连接状态的数据结构。

技术原理[编辑]

要了解desync的工作原理，首先要简单了解GFW是如何检测并封禁网站的。

当我们访问使用HTTPS协议的网站时，通信传输的信息（包括但不限于域名等）全部经过非对称加密，以防止通信过程被监听和篡改。但为了帮助单IP多站点的服务器实现HTTPS通信（通常通过反向代理服务器检测域名实现），TLS握手时会发送SNI信息（可以理解为域名），而加密型SNI（如ESNI和ECH）尚未普及，且GFW会直接对此采取TCP RST阻断措施，所以目前SNI都是明文形式。于是，GFW就可以方便地检测TLS握手识别你所访问的网站，进而通过黑名单机制采取措施（通常为TCP重置攻击）。

desync软件之一Phantomsocks利用WinDivert（Windows）、Pcap、RawSocket（Linux）等修改TCP帧，伪造部分帧参数。修改后的TCP帧不合常理，会使大部分防火墙的审查功能紊乱，无法正常跟踪TCP连接状态，从而不能进行SNI等检测，进而也就不会发出RST阻断连接。

当然，这一手段也存在局限性：

• 由于是对TCP连接进行的干预，无法对UDP协议等提供保护；
• TCP帧被伪造后，部分开启严格管控模式的网站服务器也会拒绝用户的请求；
• 你的访问日志仍可能被记录，并通过人工审核等方式监控。

实现[编辑]

目前，实现desync的反审查工具有phantomsocks、GhosTCP、INTANG、Geneva（百科）、GoodbyeDPI（百科）等。