深入理解GFW：结论

作为深入理解系列最后一篇，有好几个平行的话题在这里一并讨论了。

西厢的弱点和局限

首先泼一盆冷水。

西厢远没有你们想象得那样强大，它有很多弱点和局限：

• 对IP封锁无效。比如加载之后也不能访问twitter.com。
• 对无状态的TCP阻断无效。比如有一段时间的docs.google.com:443。
• 不稳定。不少用户反应使用时有时候仍然会连接被重置。
• 受环境影响大。因为要求网络中间节点都遵守RFC，不少NAT内网用户无法使用，装了防火墙也可能造成无法使用，在虚拟机内开启也可能无法使用。
• 安全性没有改善。用户的通信仍然是原样，明文仍然是明文，被动监听设备依然正常截获用户的通信。
• 受制于GFW的变动。GFW指纹逻辑比较复杂，只能通过硬编码来描述。如果GFW更新工作方式细节，那么匹配模块就需要重写更新才能使用。
• 另外，有ipv6线路的用户访问Youtube不需要使用西厢。

而它的优点是，免费，无中转性能开销。因此，到发布为止，只想到Youtube最大地展示了它的优点而较少受到缺点影响。而产生幻觉，只看到优点看不到缺点是多数人会犯的错误。

HTTP URL/深度关键词检测

一项持续时间比张某还长的遗留研究。下面是它的开发研究简介，细节很多，非研究者可以略去不看。

西厢计划

2008年7月tek4小组建立：

作为个搞技术的人，我们要干点疯狂的事。如果我们不动手，我们就要被比我们差的远的坏技术人员欺负。这太丢人了。眼前就是，GFW这个东西，之前是我们不抱团，让它猖狂了。现在咱们得凑一起，想出来一个办法让它郁闷一下，不能老被欺负吧。要不，等到未来，后代会嘲笑我们这些没用的家伙，就象我们说别人“你怎么不反抗？”

之后一个月几篇显著的文章出现：译言的《如何忽略防火长城》，周曙光的《Zola教你玩：如何对抗GFW的域名劫持》，Robert Mao的《关于墙的技术讨论》 ，预言“射击墙的理论已经几乎要进入实战”。

之后tek4小组又参与了绿坝娘推倒作战，提供几份重要文档的来源。再之后GFW的实体被匿名网民进一步揭露，方滨兴浮出水面。

时至今日，经过大家的努力，GFW的实体、结构、工作方式、弱点已经全部暴露在阳光之下，穿墙方法和DDoS规划方法也已经成熟。我们作为已经解散的tek4小组的一个分支，研究实际上在很早之前就已经结束，在花费大量时间编写文档、整理文献和验证实验数据之后，终于到了展示实战方法的时候，当初人们提出的设想也在这里得到了令人满意的答复。在这一部分完成之后我们也将解散。

这就是：西厢计划。