什么是西厢计划

西厢计划提供一组工具，使得用户在一次设置之后，能够以普通程序直连目标网络，而避免GFW的大部分影响。其命名是为了向中国古典文学史上翻墙的先驱者张某致敬。西厢计划现在已经达到Alpha可用状态，在初步的测试中可以让用户以普通浏览器无障碍地直连YouTube等。

西厢计划的特性

西厢计划要解决GFW造成的两个方面的问题：TCP连接重置和DNS劫持（污染）。为此西厢计划提供了两种特性：

一是TCP连接混淆，在每次连接中，通过对GFW的入侵检测系统进行注入，混淆连接，使得GFW无法正确解析连接和检测关键词，从而在有关键词的情况下也避免连接重置。

二是反DNS劫持，通过匹配GFW伪包的指纹并将其过滤，让用户以普通的客户端也能获得正确的解析结果。

西厢计划采取了T. Ptacek等在1998年的论文Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection中提出规避入侵检测的注入方法。注入法是指发出特制报文，使得这些报文对对方没有效果，但是让IDS错误地分析协议，从而让IDS错误地认为连接被提前终止了。由于GFW的TCP栈非常简陋，因此我们可以直接利用GFW的TCP栈的特性，对任何遵守RFC的目标主机都采取特定特殊措施，让GFW无法正确解析TCP连接，从而避免关键词监测。