新分析:数据跨境安全网关的突变
一年不见,我们的老朋友GFW也是不断更新,出现了许许多多从以前从未有过的迹象,值得我们再写一篇文章来研究。
声明:本文仅供技术研究参考,不具有法律效力,因阅读本文产生的任何法律后果自负,本文中访问的大量网址仅供学术参考。
前言
继上一次分析完GFW的运行架构和技术原理后,2025年GFW也是有很多事情发生:无论是河南地区的墙中之墙,还是8月20日晚GFW的全面阻断,亦或者是海南地区封关官宣VPN工具。2025,GFW重大变化。
有关墙中之墙和全面阻断的问题已被GFWReport研究,现摘录部分核心内容。
墙中之墙
概要
2023年8月,在中国人口第三大省、重要的劳务中心——河南省的用户开始报告,一些在中国其他地区可以访问的网站,在当地却无法访问。
经过分析河南省新兴的地区性审查,将其封锁策略和实现与国家级GFW进行了比较。调查显示,河南的省级中间设备通过基于HTTP Host和基于TLS服务器名称指示(SNI)的过滤来封锁对特定HTTP和HTTPS网站的访问(第4.1节)。与监控并封锁进出境流量的GFW不同,这个地区性防火墙仅审查离开该省的流量(第4.2节)。它在连接追踪和解析逻辑(第4.3节)、注入行为和指纹(第4.4节)以及网络位置(第4.5节)方面也不同于GFW。
封锁列表
为了了解两个封锁列表的大小和重叠情况,我们进行了一项长期实验,在 2023 年 12 月 26 日至 2025 年 3 月 31 日期间,每周测试 2.27 亿个域名。图10 显示了 GFW 和河南防火墙累积的封锁列表。在实验期间,河南防火墙封锁了 4,196,532 个域名——是 GFW 曾封锁的 741,542 个域名的五倍多。有 479,247 个域名同时被两个防火墙封锁。两个封锁列表之间的 Jaccard 指数约为 0.0885,表明它们的相似度低于 9%,因此在覆盖范围上很大程度上是独立的,但又互为补充。
全面阻断
2025 年 8 月 20 日北京时间(UTC+8)约 00:34 至 01:48 间,中国国家防火墙(GFW)出现异常行为:对所有指向 TCP 443 端口的连接无条件注入伪造的 TCP RST+ACK 包,导致连接中断。该事件引发了中国与世界其他地区之间的大规模互联网连通性故障(来源1 与 来源2)。
本报告记录了我们对这一短暂但广泛的封禁事件的测量与分析。主要发现如下:
无条件的 RST+ACK 注入仅发生在 TCP 443 端口,未见于其他常见端口(如 22、80、8443)。
该无条件注入同时扰乱了出入境中国双方向的连接,但触发机制不对称:从中国境内向境外发起的连接,客户端的 SYN 包与服务器的 SYN+ACK 包各自触发三个 RST+ACK包;从境外向中国境内发起的连接,只有服务器返回的 SYN+ACK 会触发 RST+ACK,客户端发送的 SYN 不会触发注入。
负责注入的设备指纹与已知 GFW 设备不匹配,因此此次事件要么由新的 GFW 设备造成,要么是由已知设备以一种新的或误配置的状态运行造成的。
以上两件大事情