荒诞年月之跨境网络端口被封
5月11日,据互联网审查机制研究平台GFW Report发布的最新研究报告,河南省部署了自己的基于TLS SNI和HTTP Host的审查机制,用于检测和封锁离开该省的流量。报告说,在2023年11月至2025年3月期间(2024年3月至10月之间没有测量),经过测试发现,河南防火墙采用了比 GFW更激进且不稳定的封锁策略。河南防火墙累计封锁了420万个域名,是 GFW累计封锁列表规模的五倍多。造成这种情况的一个关键原因是其封锁了许多通用二级域名(如*.com.au)。测试还揭示,在一些时期,其封锁的域名数量是 GFW的十倍之多。
报告指出,河南防火墙比 GFW更倾向于针对商业、经济、计算机和互联网信息领域的域名,在河南防火墙封锁列表上出现的总域名中,超过35%是这几类。报告称,这可能和河南有很多许多金融争议有关,2022年河南村镇银行因金融丑闻曾引发的大规模抗议活动。
报告还发现,河南的网络审查具有单向性,从河南省会郑州向外发起的TLS连接会触发封锁,但从外部向河南发起的连接未受限制。这一特性表明,河南防火墙主要监控出省流量。
报告称,尽管河南防火墙审查的侧重点与国家防火墙不同,但是,河南的防火墙是在 GFW基础上的更进一步审查,阻碍信息量更大,形成“墙中之墙”。
报告指出,该研究的主要目地在于揭示互联网审查可能从集中化向区域化转变,导致各地网络环境进一步碎片化,甚至形成“网络孤岛”。
研究者还表示,预计未来中国其他地区可能也会进行类似部署,因此需进一步探索审查技术的演变及其对全球互联网生态的影响。
8月20日凌晨,中国网络空间突发大规模异常。境外443端口(HTTPS加密访问)流量一度被全面屏蔽,苹果、特斯拉、必应等国际网站均受影响。多位网络安全工程师指出,此举或为长城防火墙(GFW)升级后的测试演练,显示更严厉的监控体系已逐步成型。
当天凌晨,海内外社交平台与微信群中不断出现抱怨,用户称“打不开网页”“VPN失效”。北京、上海等地均有类似反映,另有网民晒出近二十个遭屏蔽IP地址的截图。
根据境外研究机构当天发布的《分析报告》显示,2025年8月20日00:34–01:48(UTC+8),GFW对所有TCP443端口连接无条件注入伪造的TCP RST+ACK,导致中国与全球大规模连通性中断。
报告指出,注入仅针对443端口,未波及22、80、8443等常见端口;双向流量均受影响,但触发机制不对称:境内发起的SYN与SYN+ACK各触发3个 RST+ACK,境外发起时则仅服务器的SYN+ACK触发。
注入设备指纹与既有GFW不符,疑似新设备或配置异常。过程持续约74分钟。
观察到多方反馈显示,0:34起境外443端口被屏蔽,1:30扩大为双向阻断,几乎所有跨境加密流量中断;1:38部分大型服务恢复;至1:50,大批网站陆续恢复访问,整个过程持续约一小时。
河北网络安全工程师杨坤(化名)20日表示,他也检测到网络异常,但这并非第一次。“最近已经有过几次类似情况,基本都在凌晨。封锁一般持续一个小时左右,看起来更像是技术测试,而不是完整的演练。”
他补充说:“这次动作有些特别,从时间和路径来看,更像是防火墙升级后的压力测试,找漏洞,再修补。大约一个月前,也发生过一次类似情况,持续了二十分钟。当时是凌晨一点左右。”
另一位工程师郭先生接受采访时则直言:“防火墙的升级其实跟军演一个道理。平时在虚拟网络、局域网做实验,一旦有大规模群体事件,就能立刻启动。目标就是在所谓特殊时刻实现快速断网,防止网民串联。”
郭先生还透露,这几年防火墙并非只有“国家队”在操作,一些地方也开始搭建属于自己的“省级墙”,限制本省用户访问外部网站:“河南、山东就出现了这种趋势。疫情以后更明显。国家防火墙主要管外网,但地方的省级防火墙能自己设规则,拦截数据。相当于在大墙里又加了一道‘墙中墙’。”
今年5月,一份由GFW.Report、斯坦福大学和马萨诸塞大学阿默斯特分校联合发布的国际研究报告证实,河南是首个已被确认部署‘墙中墙’的省份。研究发现,自2023年底起,河南主要网络出口节点启用了地方运营的过滤系统,拦截超过420万个域名,甚至波及学术和政府网站,规模远超国家级防火墙。
专家指出,这意味着审查权正在下沉,地方政府在网络管控中拥有更大操作空间,可能导致各地网络环境更加割裂。
一位北京的时政观察人士指出,在互联网安全工程上的投入巨大,“甚至被认为超过部分大外宣经费”。他认为,这类测试与即将到来的重大政治活动时间上高度重合,显示当局在做“数字版战备”准备。
有关专家提醒,443端口是全球加密通信的核心接口,若频繁封锁,不仅会影响普通用户,也会冲击跨境企业运营、科研合作与金融交易。随着9月3日北京阅兵的临近,这类测试更像是一场“网络防御演习”,也表明一套更严密的监控系统已经成型。
真的希望,国家灭
页:
[1]