- Welcome to .
作者 jingyue
- 十二月 16, 2025, 03:18:55 上午引用: 中国长城防火墙 GFW 通过注入伪造的 TCP RST+ACK 数据包来破坏 TCP 端口 443 上的连接
引用自: jingyue 于 十二月 12, 2025, 05:08:25 上午原文链接:
https://gfw.report/blog/gfw_unconditional_rst_20250820/zh/
2025年8月20日中国防火长城GFW对443端口实施无条件封禁的分析
1. 引言
2025 年 8 月 20 日北京时间(UTC+8)约 00:34 至 01:48 间,中国国家防火墙(GFW)出现异常行为:对所有指向 TCP 443 端口的连接无条件注入伪造的 TCP RST+ACK 包,导致连接中断。该事件引发了中国与世界其他地区之间的大规模互联网连通性故障(来源1 与 来源2)。
本报告记录了我们对这一短暂但广泛的封禁事件的测量与分析。主要发现如下:
无条件的 RST+ACK 注入仅发生在 TCP 443 端口,未见于其他常见端口(如 22、80、8443)。
该无条件注入同时扰乱了出入境中国双方向的连接,但触发机制不对称:从中国境内向境外发起的连接,客户端的 SYN 包与服务器的 SYN+ACK 包各自触发三个 RST+ACK包;从境外向中国境内发起的连接,只有服务器返回的 SYN+ACK 会触发 RST+ACK,客户端发送的 SYN 不会触发注入。
负责注入的设备指纹与已知 GFW 设备不匹配,因此此次事件要么由新的 GFW 设备造成,要么是由已知设备以一种新的或误配置的状态运行造成的。
需注意的是,本次事件持续时间较短(约 74 分钟),对我们的测量和分析带来一定限制。我们鼓励社区成员分享各自的观测与分析,以共同完善对该事件的理解。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_完整内容参见原文链接_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
作者 jingyue
- 十二月 15, 2025, 01:50:34 下午pfSense 防火墙介绍( 官方 )
pfSense® 软件是一款免费、开源的定制 FreeBSD 发行版,专为防火墙和路由器设计,完全通过网页界面进行管理。除了作为强大且灵活的防火墙和路由平台外,它还包含大量相关功能和包系统,允许在不增加臃肿和潜在安全漏洞的情况下进一步扩展。
pfSense 项目由 Rubicon Communications, LLC( Netgate )托管和开发。
pfSense 项目的源代码是开源的,并采用 Apache 2.0 开源许可证发布。
官方网站 https://www.pfsense.org/
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
# pfSense 防火墙介绍( 网络 )
pfSense 是一个基于 FreeBSD 的开源防火墙和路由器软件,广泛用于创建高性能的网络安全解决方案。它提供多种功能,包括状态监测、防火墙规则、VPN 支持和流量管理等,适用于小型企业到大型企业的网络安全需求。
# pfSense 的主要特点
- 开源与灵活性:pfSense 是免费开源的,用户可以根据具体需求进行修改和扩展。
- 用户友好的界面:提供 Web 图形用户界面,便于管理和配置。
- 全面的支持功能:包括防火墙、VPN、流量整形、负载均衡和入侵检测等。
- 强大的社区支持:拥有活跃的开发者和用户社区,提供丰富的文档和支持。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
作者 jingyue
- 十二月 15, 2025, 05:53:07 上午( 接 续 )前一页,
屏蔽效果如何?查看防火墙 < 日志 > 记录可知,
【 状态 】——>【 系统日志 】——>【 防火墙 】——>【 动态视图 】,
pfSense 防火墙,可以在 < 终端 > 内用命令查看被防火墙拦截下来的入站 TCP RST 数据报的次数:
< 终端命令 > root 权限,
# pfctl -s all | grep "Block_TCP_RST_Attack"
典型输出:
block drop in log quick on em1 inet proto tcp all flags R/R label "USER_RULE: Block_TCP_RST_Attack" xxxxxxx xxxxxxxx
USER_RULE: Block_TCP_RST_Attack id:xxxxxxxxxx 53 5 200 5 200 0 0 0
其中 53 对应被 pf 防火墙拦截下来的准备入站的 TCP RST 数据包的数目,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_END_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
屏蔽效果如何?查看防火墙 < 日志 > 记录可知,
【 状态 】——>【 系统日志 】——>【 防火墙 】——>【 动态视图 】,
pfSense 防火墙,可以在 < 终端 > 内用命令查看被防火墙拦截下来的入站 TCP RST 数据报的次数:
< 终端命令 > root 权限,
# pfctl -s all | grep "Block_TCP_RST_Attack"
典型输出:
block drop in log quick on em1 inet proto tcp all flags R/R label "USER_RULE: Block_TCP_RST_Attack" xxxxxxx xxxxxxxx
USER_RULE: Block_TCP_RST_Attack id:xxxxxxxxxx 53 5 200 5 200 0 0 0
其中 53 对应被 pf 防火墙拦截下来的准备入站的 TCP RST 数据包的数目,
引用- Data fields explained:
1. 53: Number of packets matched by this rule.
2. 5: Number of rules matched, indicating how many times this rule was evaluated.
3. 200: Total bytes transferred, reflecting the total size of blocked packets.
4. 5: Average transfer rate in packets per second.
5. 200: Maximum transfer rate indicating peak packets blocked.
6. 0: Active state table entries, indicating no active connections under this rule.
7. 0: Maximum current connections under this rule.
8. 0: Indicates unmatched packets.
引用- 数据字段解释如下:
1. 53:匹配的数据包数量。此处表示有 53 个数据包被此规则匹配。
2. 5:匹配的规则数量。可能表示此规则被评估(被触发)记录的次数。
3. 200:传输的字节数量。如果这个规则阻止了某些数据包,此数值将反映那些数据包的字节总数。
4. 5:每秒钟的平均传输速率。这可能表示每秒内匹配到的平均数据包数。
5. 200:最大传输速率,这里指的是在此规则下的最大数据包数。
6. 0:当前的状态表项数目,表示没有活跃的连接在该规则下。
7. 0:当前连接数的最大值,表明没有连接在该规则下。
8. 0:表示不匹配的数量,即未被此规则处理的数据包数。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_END_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
作者 jingyue
- 十二月 15, 2025, 03:53:43 上午 pfSense 防火墙,添加一条规则,可以阻断 TCP RST 网络攻击,
【 状态 / 仪表大厅 】——>【 防火墙 】——>【 规则策略 】——>【 LAN 】——>【 添加 】( 将规则添加到列表顶部 ),
< 编辑防火墙规则 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~1~~~~~~~
动作:阻止
接口:LAN
地址簇:IPv4 ,或者选 IPv4+IPv6 也可以,
协议:TCP
< 源 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~2~~~~~~
源:Any
< 目标 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~3~~~~~~
目标:Any
< 额外选项 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~4~~~~~~~~
日志:勾选 < 记录该规则处理的数据包 >
描述:Block_TCP_RST_Attack
< 高级选项 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~5~~~~~~~~~
源操作系统:Any
TCP 标识~~~~~~~~~
设置:RST
排除:RST
提示:
在 < 设置 > 那一行,用鼠标点击对应 < RST > 的白色方框,出现一个"对号"即可,
在 < 排除 > 那一行,用鼠标点击对应 < RST > 的白色方框,出现一个"对号"即可,
注意其他 FIN, SYN ,PSH, ACK, URG, ECE, CWR,对应的空白方框要保持空白,
状态类型:None ,或者选择 Keep 也可以,
< 规则信息 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~None~~~~~~~~~~~
规则信息这一栏没有需要设置的内容,
在这里单击 < 保存 > 按钮,
然后鼠标单击 < 应用更改 > 按钮,出现:" 已成功应用更改。防火墙规则正在后台重新加载 ",
整个设置到此结束,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~End~~~~~~~~~~~~~~~~~~~~~~~~~~~~
【 状态 / 仪表大厅 】——>【 防火墙 】——>【 规则策略 】——>【 LAN 】——>【 添加 】( 将规则添加到列表顶部 ),
< 编辑防火墙规则 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~1~~~~~~~
动作:阻止
接口:LAN
地址簇:IPv4 ,或者选 IPv4+IPv6 也可以,
协议:TCP
< 源 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~2~~~~~~
源:Any
< 目标 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~3~~~~~~
目标:Any
< 额外选项 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~4~~~~~~~~
日志:勾选 < 记录该规则处理的数据包 >
描述:Block_TCP_RST_Attack
< 高级选项 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~5~~~~~~~~~
源操作系统:Any
TCP 标识~~~~~~~~~
设置:RST
排除:RST
提示:
在 < 设置 > 那一行,用鼠标点击对应 < RST > 的白色方框,出现一个"对号"即可,
在 < 排除 > 那一行,用鼠标点击对应 < RST > 的白色方框,出现一个"对号"即可,
注意其他 FIN, SYN ,PSH, ACK, URG, ECE, CWR,对应的空白方框要保持空白,
状态类型:None ,或者选择 Keep 也可以,
< 规则信息 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~None~~~~~~~~~~~
规则信息这一栏没有需要设置的内容,
在这里单击 < 保存 > 按钮,
然后鼠标单击 < 应用更改 > 按钮,出现:" 已成功应用更改。防火墙规则正在后台重新加载 ",
整个设置到此结束,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~End~~~~~~~~~~~~~~~~~~~~~~~~~~~~