原文链接：

https://gfw.report/blog/gfw_unconditional_rst_20250820/zh/

2025年8月20日中国防火长城GFW对443端口实施无条件封禁的分析

1. 引言

2025 年 8 月 20 日北京时间（UTC+8）约 00:34 至 01:48 间，中国国家防火墙（GFW）出现异常行为：对所有指向 TCP 443 端口的连接无条件注入伪造的 TCP RST+ACK 包，导致连接中断。该事件引发了中国与世界其他地区之间的大规模互联网连通性故障（来源1 与 来源2）。

本报告记录了我们对这一短暂但广泛的封禁事件的测量与分析。主要发现如下：

    无条件的 RST+ACK 注入仅发生在 TCP 443 端口，未见于其他常见端口（如 22、80、8443）。
    该无条件注入同时扰乱了出入境中国双方向的连接，但触发机制不对称：从中国境内向境外发起的连接，客户端的 SYN 包与服务器的 SYN+ACK 包各自触发三个 RST+ACK包；从境外向中国境内发起的连接，只有服务器返回的 SYN+ACK 会触发 RST+ACK，客户端发送的 SYN 不会触发注入。
    负责注入的设备指纹与已知 GFW 设备不匹配，因此此次事件要么由新的 GFW 设备造成，要么是由已知设备以一种新的或误配置的状态运行造成的。

需注意的是，本次事件持续时间较短（约 74 分钟），对我们的测量和分析带来一定限制。我们鼓励社区成员分享各自的观测与分析，以共同完善对该事件的理解。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_完整内容参见原文链接_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

引用： Linux 电脑操作系统  iptables 防火墙如何解决 TCP RST 网络攻击问题

引用自: jingyue 于 十二月 11, 2025, 01:33:44 下午Linux 防火墙 iptables 阻止入站 reset 数据包 RST 攻击 Attack

Linux操作系统  iptables 防火墙，如何阻止入站 RST（ 连接被重置 ） 攻击，使用以下命令，

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

终端命令，（ root 权限，）
 
1），IPv4 协议，

    # iptables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP
 
2），IPv6协议，

    # ip6tables -I INPUT 1 ! -i lo -p tcp --tcp-flags RST RST -j DROP

即刻生效，

提示：
Linux 电脑系统重新启动之后，上面两条防火墙规则就会失效，
因此不会改变电脑系统原有的 iptables 和 ip6tables 防火墙规则。

～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～～

引用：  pfSense 防火墙添加一条规则可以阻断 TCP RST  网络攻击，

引用自: jingyue 于 十二月 15, 2025, 03:53:43 上午pfSense 防火墙，添加一条规则，可以阻断 TCP RST  网络攻击，


【 状态 / 仪表大厅 】——>【 防火墙 】——>【 规则策略 】——>【 LAN 】——>【 添加 】（ 将规则添加到列表顶部 ），


< 编辑防火墙规则 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~1~~~~~~~

动作：阻止
接口：LAN
地址簇：IPv4 ，或者选 IPv4+IPv6 也可以，
协议：TCP

< 源 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~2~~~~~~

源：Any

< 目标 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~3~~~~~~

目标：Any

< 额外选项 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~4~~~~~~~~

日志：勾选  < 记录该规则处理的数据包 >

描述：Block_TCP_RST_Attack

<  高级选项  >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~5~~~~~~~~~

源操作系统：Any

TCP 标识～～～～～～～～～

                 设置：RST
                 排除：RST

提示：

在 < 设置 > 那一行，用鼠标点击对应 < RST > 的白色方框，出现一个"对号"即可，

在 < 排除 > 那一行，用鼠标点击对应 < RST > 的白色方框，出现一个"对号"即可，

注意其他   FIN， SYN ，PSH， ACK， URG， ECE， CWR，对应的空白方框要保持空白，


状态类型：None ，或者选择 Keep 也可以，


< 规则信息 >~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~None~~~~~~~~~~~


规则信息这一栏没有需要设置的内容，


在这里单击 < 保存 > 按钮，

然后鼠标单击 < 应用更改 > 按钮，出现：" 已成功应用更改。防火墙规则正在后台重新加载 "，


整个设置到此结束，


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~End~~~~~~~~~~~~~~~~~~~~~~~~~~~~

引用：  pfSense 防火墙添加一条规则可以阻断 TCP RST  网络攻击，

引用自: jingyue 于 十二月 15, 2025, 05:53:07 上午（  接 续  ）前一页，


屏蔽效果如何？查看防火墙 < 日志 > 记录可知，

【 状态  】——>【 系统日志 】——>【 防火墙 】——>【 动态视图 】，


pfSense 防火墙，可以在 < 终端 > 内用命令查看被防火墙拦截下来的入站 TCP RST 数据报的次数：

< 终端命令 >  root 权限，

# pfctl -s all | grep "Block_TCP_RST_Attack"

典型输出：

block drop in quick on em1 inet proto tcp all flags R/R label "USER_RULE: Block_TCP_RST_Attack"  xxxxxxx xxxxxxxx

USER_RULE: Block_TCP_RST_Attack id:xxxxxxxxxx   53    5    200    5   200   0    0    0

其中 53  对应被 pf 防火墙拦截下来的准备入站的 TCP RST 数据包的数目，


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~_END_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~