GFW疑似部署新设备或配置失误 导致443端口异常封禁
2025年8月20日凌晨,中国防火长城(GFW)出现了一次不寻常的技术异常。GFW Report研究团队通过设备指纹分析发现,此次事件中注入的RST+ACK数据包特征与已知的GFW设备存在明显差异,暗示可能有新型审查设备投入使用,或是现有设备出现配置错误。
据GFW Report团队发布的技术报告显示,在北京时间00:34至01:48的74分钟内,GFW对所有TCP 443端口连接进行了无条件阻断。与以往GFW设备发送完全相同的三份RST+ACK包不同,此次注入的数据包在IP TTL(96、97、98)和TCP窗口大小(2072、2073、2074)等关键字段呈现递增特征,这种模式此前从未在GFW系统中被观察到。
GFW Report研究团队将捕获的数据包与已知的GFW设备指纹进行比对,包括基于HTTP Host和TLS SNI的审查组件,均无法找到完全匹配的特征。该团队指出,这种前所未见的行为模式强烈暗示,要么GFW系统引入了新的网络中间盒设备,要么是已有设备在异常或误配置状态下运行。
来源:gfw.report
2025年8月20日凌晨,中国防火长城(GFW)出现了一次不寻常的技术异常。GFW Report研究团队通过设备指纹分析发现,此次事件中注入的RST+ACK数据包特征与已知的GFW设备存在明显差异,暗示可能有新型审查设备投入使用,或是现有设备出现配置错误。
据GFW Report团队发布的技术报告显示,在北京时间00:34至01:48的74分钟内,GFW对所有TCP 443端口连接进行了无条件阻断。与以往GFW设备发送完全相同的三份RST+ACK包不同,此次注入的数据包在IP TTL(96、97、98)和TCP窗口大小(2072、2073、2074)等关键字段呈现递增特征,这种模式此前从未在GFW系统中被观察到。
GFW Report研究团队将捕获的数据包与已知的GFW设备指纹进行比对,包括基于HTTP Host和TLS SNI的审查组件,均无法找到完全匹配的特征。该团队指出,这种前所未见的行为模式强烈暗示,要么GFW系统引入了新的网络中间盒设备,要么是已有设备在异常或误配置状态下运行。
来源:gfw.report
