圈小蛙
在当今高度互联的世界中,国家级的整体断网通常会对经济与社会运行造成毁灭性打击。然而,在 2026 年年初伊朗发生持续数月的全国性网络中断期间,该国的核心政务、金融以及关键基础设施并未完全瘫痪。这种“对内不掉线,对外铁幕合拢”的奇特现象,得益于伊朗政府近年来大力推进的国家互联网(NIN)项目以及严格的“白名单”出境限制制度。
为了探寻这堵网络高墙背后的运行机理,加州大学圣克鲁兹分校(UCSC)RAND 实验室的科研人员在断网期间设计并执行了一项巧妙的探测实验。根据该团队发布的伊朗网络白名单技术分析报告,他们利用部署在伊朗境内的一台 VPS 虚拟机,配合位于匈牙利、美国和日本的多台外部接收端 VPS,对伊朗全国的所有潜在 IP 地址展开了一场声势浩大的穷举探测。
穷举探测千万级地址:极少数特定IP的“绿色通道”
为了摸清究竟有哪些本地设备可以在断网期间与外界通信,研究人员首先从路由层面入手。他们收集了伊朗各个自治系统(AS)通过边界网关协议(BGP)向全球互联网宣告的 IP 地址段,总计涵盖了 11,766,454 个 IPv4 地址。
随后,研究团队利用境内的 VPS 伪造这些源 IP 地址,向境外多台 VPS 发送特制的探测数据包。由于网络边界路由器的过滤机制(通常称为入站/出站源地址验证),只有当被伪造的 IP 确实属于政府允许与外网通信的“白名单”时,数据包才能成功穿透伊朗的边界防火墙到达境外的接收端。在对这 1170 多万个地址进行了多轮穷举扫描后,测试结果令人震惊:在整个伊朗境内,最终只有大约 2000 个 IP 地址成功将数据包发送到了境外。这表明,在断网危机时刻,全伊朗仅有极少数关乎国家命脉的机构、特定企业或高级技术人员获得了跨国通信的特权。
并非完全自由:基于SNI的精细化分级策略
然而,获得“外网访问通行证”并不意味着拥有了不受约束的数字自由。RAND 实验室的研究人员在进一步的测试中发现,这 2000 个白名单 IP 在访问境外网站时,其连接请求仍然会触发伊朗国家防火墙的深度包检测(DPI)系统,并受到基于服务器名称指示(SNI)的过滤。
SNI 是 TLS 握手协议中的一个技术细节,用于在建立加密连接前声明客户端想要访问的域名。防火墙正是通过读取明文的 SNI 信息来实施精准阻断。令人关注的是,白名单中的 2000 个 IP 并非受到同等对待:测试数据显示,有大约半数的白名单 IP 虽然能访问外网,但仍然被禁锢在特定的境外域名集合内,无法自由跳转;而另外至少半数的 IP 则展现出了惊人的特权,完全不受任何 SNI 过滤的限制。这充分证实了伊朗在断网期间实施了一套分层的精细控制策略——针对普通特权用户采用限制性白名单,而针对核心政府部门或军方要害部门则彻底敞开绿色通道。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️