Desync
外观
TCB脱同步(英语:TCB desync)是一种规避深度包检测的方法。该方法首次在Zhongjie Wang等人的论文Your state is not mine: a closer look at evading stateful internet censorship中提出。其中“TCB”指的是TCP控制块(TCP Control Block),即网络设备记录连接状态的数据结构。
技术原理
[编辑]要了解desync的工作原理,首先要简单了解GFW是如何检测并封禁网站的。
当我们访问使用HTTPS协议的网站时,通信传输的信息(包括但不限于域名等)全部经过非对称加密,以防止通信过程被监听和篡改。但为了帮助单IP多站点的服务器实现HTTPS通信(通常通过反向代理服务器检测域名实现),TLS握手时会发送SNI信息(可以理解为域名),而加密型SNI(如ESNI和ECH)尚未普及,且GFW会直接对此采取TCP RST阻断措施,所以目前SNI都是明文形式。于是,GFW就可以方便地检测TLS握手识别你所访问的网站,进而通过黑名单机制采取措施(通常为TCP重置攻击)。
desync软件之一Phantomsocks利用WinDivert(Windows)、Pcap、RawSocket(Linux)等修改TCP帧,伪造部分帧参数。修改后的TCP帧不合常理,会使大部分防火墙的审查功能紊乱,无法正常跟踪TCP连接状态,从而不能进行SNI等检测,进而也就不会发出RST阻断连接。
当然,这一手段也存在局限性:
- 由于是对TCP连接进行的干预,无法对UDP协议等提供保护;
- TCP帧被伪造后,部分开启严格管控模式的网站服务器也会拒绝用户的请求;
- 你的访问日志仍可能被记录,并通过人工审核等方式监控。
实现
[编辑]目前,实现desync的反审查工具有phantomsocks、GhosTCP、INTANG、Geneva(百科)、GoodbyeDPI(百科)等。