中国 "防火长城" 在约74分钟内"无条件注入伪造的 TCP RST+ACK 数据包,中断了 TCP 443 端口上的所有连接",
原文链接:
https://securityboulevard.com/2025/08/great-firewall-china-web-74-minutes-richixbw/
NOT-So-Great Firewall: China Blocks the Web for 74 Min.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
不太强大的防火墙:中国封锁网络长达 74 分钟。
作者: Richi Jennings,发表于2025年8月21日
端口 443 上的 HTTPS 连接收到了伪造的回复。
昨天,中国网民无法访问中华人民共和国以外的网站。这次网络中断持续了一个多小时,没有任何解释。没人能确定这究竟是人为失误,还是对新审查机制的一次不祥测试。但有人将其与巴基斯坦最近发生的网络中断联系起来。在今天的SB博客观察栏目中,我们将用汉隆剃刀刮胡子。您忠实的博客观察员精心挑选了 这些博客片段,供您娱乐。此外,我们还会探讨:事实还是谎言?
Xi Whiz
怎么回事?西蒙·沙伍德说:中国切断了与全球互联网的连接。
"流量骤降"
[此次]中断意味着中国网民无法访问大多数托管在中国境外的网站,这非常不便。此次事件还阻塞了其他依赖443端口的服务,这可能会造成更大的问题,因为许多服务出于运营需要与中国境外的服务器或信息源通信。例如,苹果和特斯拉就使用该端口连接到为其部分基础服务提供支持的海外服务器。
......
如果请求得当,中国会与其他国家分享防火长城背后的技术。......据信巴基斯坦也部署了自己的防火长城版本,并且......在中国443端口事件发生前几个小时,当地互联网流量出现了大幅下降。
如何被屏蔽?以下是纳撒尼尔·莫特的发现:中国的防火长城屏蔽了所有流向一个常用HTTPS端口的流量
"中国无法重蹈朝鲜覆辙"
一个致力于监测中国网络审查系统的网站声称,中国"防火长城"在约74分钟内"无条件注入伪造的TCP RST+ACK数据包,中断了TCP 443端口上的所有连接",之后恢复正常。......更大的谜团在于,8月20日出现的这种异常行为是否是人为设定。......但由于持续时间过短,该组织对这一事件的调查受到了阻碍。
......
中国政府实际上是在试图两全其美。封锁与世界其他地区的连接将造成经济上的毁灭性打击,因此中国无法像朝鲜那样切断与更广泛互联网的联系。但它也不想完全开放信息访问。......因此,"防火长城"实际上是一种奇怪的折衷方案。
马嘴?吴明仕翻译迷失:2025年8月20日中国防火墙长城GFW对443端口实施无条件封禁的分析
"指纹不匹配"
我们的主要发现如下:
1. 无条件 RST+ACK 注入发生在 TCP 端口 443 上,而非其他常用端口,例如 22、80 和 8443。
2. 无条件 RST+ACK 注入中断了进出中国的连接,但触发机制是不对称的。对于来自中国境内的流量,客户端的 SYN 数据包和 SYN+ACK 数据包均可触发三个注入的 RST+ACK 数据包。对于发往中国境内的流量,只有服务器的 SYN+ACK 响应(而非客户端的 SYN 数据包)才能触发 RST+ACK 数据包。
3. 负责的设备与任何已知的 GFW 设备指纹均不匹配,这表明该事件是由新的 GFW 设备或处于异常或配置错误的已知设备引起的。
"配置错误"?呵呵——geekmux对这种说法嗤之以鼻:
就叫它"测试"吧。......注入伪造数据包可不是什么"哎呀"的小错误。而且居然放任不管整整一个小时?
......
他们到底在等什么?难道前五分钟造成的负面影响还不够严重吗?
相反, ch3nyang则选择了更简单的答案:
不仅个人,就连大型企业也受到了封锁。如果这真的是未来"某些措施"的预演,我简直无法想象它会对经济造成多大的打击。因此,我认为这更像是一次人为失误。
或者会不会是外部因素的影响?这是长吻麝鼠:
这或许并非有意为之。虽然显而易见的解释包括能力测试、失误或对某些内容的真正审查(而且似乎很成功),但也有可能这是另一个大国展示其破坏性能力的举动。
例如
,美国或以色列可能发出"我们可以通过拒绝服务攻击切断你的网络连接"之类的信号。如果我想向另一个国家发出警告,表明"我随时可以这样做",同时又能保持一定的否认余地,那么这或许是一种可行的方法。
谁在乎?中国公民几乎不用中国境外的网络服务。但chickenzzzzu解释了其中一种影响:
想想有多少人在美国公司远程工作,却无法参加会议,而他们表面上"在家工作",实际上却是......完全合法的中国公民,永久居住在中国,拿着工资假装成身份被盗用的美国人。
即使在最好的情况下,访问互联网也并非易事。dwater指出:
Cloudflare更糟糕。对于身处中国境内想要访问境外网站的人来说,它简直是噩梦——当然,这主要指的是外国人。Cloudflare几乎会阻止或质疑所有访问。
同时, AMBxx还俏皮地开了个玩笑:
与此同时,我网站的防火墙屏蔽了所有来自中国的流量。我想这样我们就扯平了。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
作者近期文章
审查制度、中国、拒绝服务、拒绝服务 (DoS) 攻击、拒绝服务攻击、拒绝服务漏洞、拒绝服务 (DoS)、政府审查、中国防火长城、HTTPS、HTTPS 连接、互联网审查、在线审查、巴基斯坦、中华人民共和国、443 端口、SB Blogwatch、国家审查、TCP、TCP/IP、防火长城、传输控制协议 (TCP) 漏洞
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
引用: 中国长城防火墙 GFW 通过注入伪造的 TCP RST+ACK 数据包来破坏 TCP 端口 443 上的连接
引用自: jingyue 于 十二月 12, 2025, 05:08:25 上午原文链接:
https://gfw.report/blog/gfw_unconditional_rst_20250820/zh/
2025年8月20日中国防火长城GFW对443端口实施无条件封禁的分析
1. 引言
2025 年 8 月 20 日北京时间(UTC+8)约 00:34 至 01:48 间,中国国家防火墙(GFW)出现异常行为:对所有指向 TCP 443 端口的连接无条件注入伪造的 TCP RST+ACK 包,导致连接中断。该事件引发了中国与世界其他地区之间的大规模互联网连通性故障(来源1 与 来源2)。
本报告记录了我们对这一短暂但广泛的封禁事件的测量与分析。主要发现如下:
无条件的 RST+ACK 注入仅发生在 TCP 443 端口,未见于其他常见端口(如 22、80、8443)。
该无条件注入同时扰乱了出入境中国双方向的连接,但触发机制不对称:从中国境内向境外发起的连接,客户端的 SYN 包与服务器的 SYN+ACK 包各自触发三个 RST+ACK包;从境外向中国境内发起的连接,只有服务器返回的 SYN+ACK 会触发 RST+ACK,客户端发送的 SYN 不会触发注入。
负责注入的设备指纹与已知 GFW 设备不匹配,因此此次事件要么由新的 GFW 设备造成,要么是由已知设备以一种新的或误配置的状态运行造成的。
需注意的是,本次事件持续时间较短(约 74 分钟),对我们的测量和分析带来一定限制。我们鼓励社区成员分享各自的观测与分析,以共同完善对该事件的理解。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_完整内容参见原文链接_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~