ハクソク

世界を動かす技術を、日本語で。

2025年8月20日におけるGFWの無条件ポート443ブロックの分析

279日前原文(gfw.report)

概要

  • 2025年8月20日未明、 Great Firewall of China (GFW) による異常な TCP RST+ACKパケット注入 が発生
  • TCP 443番ポート のみ対象、他の一般的なポートには影響なし
  • 注入は 中国内外双方の通信 に発生し、発動条件に非対称性
  • 既知のGFW装置の指紋と一致せず、新型または誤動作の可能性
  • 事象は約 74分間のみ発生、追加観測が必要

中国GFWによるTCP 443番ポート遮断異常事象の詳細解析

  • 2025年8月20日0:34~1:48(北京時間)、GFWが TCP 443番ポート 全通信に対し 無条件RST+ACKパケット注入 を実施
  • この影響で 中国と海外間のインターネット通信が大規模に遮断 される事象
  • 22、80、8443等の他ポート では同様の遮断は未観測
  • 中国発通信 ではクライアントのSYNパケットとサーバのSYN+ACKパケットそれぞれが 3個のRST+ACK注入 を誘発
  • 海外発通信 ではサーバのSYN+ACK応答のみが RST+ACK注入 を誘発、SYN単体では発動せず
  • 注入装置のパケット指紋 は既知GFW装置と一致せず、 新規装置または異常動作 の可能性
  • 事象発生期間が短く、限定的な観測のみ。 追加情報提供を呼びかけ

遮断発動の詳細検証

  • 中国内(AS45090, Tencent Cloud, Beijing) および 国外複数拠点 からのプローブで遮断再現

    • ncコマンド による443番ポートへのTCPハンドシェイク試行で 接続拒否
    • tcpdump でSYN送信時に 3つのRST+ACKパケット (ウィンドウサイズ1980, 1981, 1982)が観測
    • サーバのSYN+ACK応答でも 3つのRST+ACKパケット (ウィンドウサイズ3293, 3294, 3295)発生

  • 国外から中国向け 通信でも RST+ACK注入 を確認

    • クライアントは 3つのRST+ACKパケット のみ受信、SYN+ACK応答が発動条件
    • 同一/24サブネット内で 443番が閉じているIP には発動せず

  • 影響ポートの限定性

    • 443番のみが対象、他の一般的なポート(1-72, 22, 80, 444, 8443など)は未影響
    • 全ポートスキャン時には 事象消失、遮断期間の短さを示唆

GFW遮断装置の指紋・特性分析

  • GFWは多様な装置 で構成され、RST注入時のパケット指紋も装置ごとに異なる
  • 今回の異常事象の 装置特定を目的 に、遮断終了後も 同一経路でプローブ調査
  • 観測されたRST+ACKパケット は、既知装置(NiereらのMB-1やWuらのGFW(II))と類似点あるが、 完全一致せず
    • 既知装置は 同一内容の3連続RST+ACK だが、今回は TTLやウィンドウサイズが漸増 する特徴
    • IPフラグDF(Don't Fragment) 設定、TTL値やウィンドウサイズの微妙な差異
  • 新種装置 または 既知装置の異常動作 の可能性が高いと推定

参考:既知GFW装置によるRST注入の指紋例

  • HTTP Hostベース遮断 :RSTパケットのTTL値やウィンドウサイズ、フラグ設定に特徴
  • TLS SNIベース遮断 :同様にRST注入時のパケット構造に固有のパターン

まとめ・今後への示唆

  • 今回の 大規模遮断事象 は、 GFWの新たな運用形態や障害 の可能性を示唆
  • 443番ポート(HTTPS通信) だけを狙い撃ちした点、発動条件の非対称性が特徴
  • 遮断装置の挙動解析 が進めば、GFWの内部構造や運用ポリシーの変化把握に繋がる見込み
  • 短期間発生・観測データ限定 のため、 追加情報・事例共有を推奨

Hackerたちの意見

ひどいな、これはインターネットの外出禁止令だよ。戦争中に国境を越えてインターネットがシャットダウンされることを想像するのは珍しくないよね(台湾に対してみたいに)。

それがLoRAの素晴らしいところなんだよね。分散型のテキストメッセージ、家でもどこでも使える超安いラジオ。アマゾンで10〜35ドルで買えるし。少なくともメッセージは届くよ。

実際、何か変わったことを繰り返し行うのは、リアルに起こったときに人々が警戒しないようにするための一般的な戦術なんだよね。(モサドがフランスの港から7隻のボートを盗んだとき、彼らは数ヶ月前からパイロットに毎晩23時にエンジンを始動させるようにして、寒さ対策だと偽装してたんだ。いざその日が来たとき、エンジンを始動させて出発したけど、誰も気づかなかった。)

バックアップ用にスターリンクミニみたいなのを持っていけるかな?外国人としてそんな状況に閉じ込められるのはかなり心配だと思う。

その種のコントロールのインフラは明らかにもう存在してる。でも、これらの出来事がどれだけ調整されているのか、意図的なのか、それともテストや内部の変更の副作用なのかは不明だね。

ひどいね、これはインターネットの外出禁止令だよ。これがひどいと思うなら… 中国では許可なしにブログすら持てないからね。「AWS」にお金を払っても、ICPの登録をしないとポート80や443は開かない。ICPの登録は中国にいる時にしかできないし、承認も必要だしね。サイトにもナンバープレートみたいに表示されるべきだよ。「AWS」が引用符で囲まれているのは、実際にはAWSじゃなくて、追い出されたから。北京では実際にはSinnetだし、寧夏ではNWCDだよ。中国のDNSサーバーからしか中国のIPにポイントできないから、アメリカのRoute53を使ってAレコードを追加しようとすると、厄介なメールが来るよ(従わないとポートが再度ブロックされるかも、しかも永久にね)。要するに、彼らは国境を越えたトラフィックをシャットダウンできるし(大ファイアウォールがパケットにイライラするとランダムに起こることもあるし、中国のビジネスアワー中は過負荷になることもある)、望むウェブサイトを簡単にシャットダウンできるんだ。

アメリカの会社でリモートワークしてる人たちが、中国にいながら「在宅勤務」してる間にミーティングに接続できなかったらどうなるんだろうね!普通はVPNの問題に苦労するけど、主権国家がパケットを注入してくるのは確かに新しい楽しみだね。

その接続はうまくいってたんじゃないかな。上司を知っておくのはいいことだね。

これってどれくらい一般的なのかな?どんな会社がそうなの?広まってるとは想像しにくいんだけど。

会議中に突然「インターネットが切れた」って言って、ルーターのせいにした人、どれくらいいるんだろう…。

中国周辺でリアルなVPNが必要な人は、メインストリームではないサービスをお金を払って使ってるよ(V2rayとか似たようなものを使って)。Shadowrocketがアプリストアで一番のアプリになってる理由があるんだ。市販のVPNアプリを使って問題が起きてる人も多いと思うけど、中国のパワーユーザーはいつもVPNを使ってて、通常は日本に接続してるから、この問題はないんだよね。

普通、彼らはVPNの問題に対処しなきゃいけないよ。中国本土のサービスにアクセスできる特別なバーチャルSIMカードや、問題なく機能するVPNもあるよ。中国にいたとき、両方使ってた。

もしそんな状況に陥ったら、どうやって回避するんだろうね?

この状況では、:443以外のポートを使えばいいだけだよ。でも、GFWはすべてのポートをブロックする能力があるから、誰も本当のところは分からないよね。

まずは状況を再現して、いろんなアプローチを試してみるのがいいと思う。詳細な分析ができるからね。もし理解が合ってれば、次のステップとしてはeBPFか何かのプロキシを使って、最初の偽造RST+ACKを無視するのが良さそう。そしたら、ACKパケットをたくさん送って、再構築したときにハンドシェイクが完了するかどうかをテストする感じかな。SYN+ACKの横に送るか、予測できればその前に送るのもありかも。シーケンスIDが0のパケットも送ってみて、どうなるか見てみるのもいいかもね。

個人だけじゃなくて、大企業もロックダウンされてたよね。これが将来の「特定の措置」のための予行演習だったとしたら、経済にどれだけの打撃を与えるか信じられないよ。だから、これは人為的なミスだったんじゃないかな。

影響の範囲を決定することも、そういうドライランの一部になるだろうね。そして、もしそれが何らかの軍事行動と一緒に使われるつもりなら、経済はどうせ混乱するだろう。

中国国内のトラフィックはどう管理されてるの? GFWはすべてのホスト間のトラフィックの中央ハブなの?それとも、住宅用ASNと商業用ASNの間だけなの?イギリスやイランでは、ISPに対してIPレベルで(例えばBT Cleanfeed)やDNSブロックを使って多くの検閲が実施されたけど、住宅ホスティングがどう扱われているかは最新情報を追えてないな。内部トラフィックは全部禁止されてるのかな?

オペレーターの管理下にあるけど、地域政府が管理してるんだ。だから、ブロックされる内容は地域によって異なるよ。

PRC内のトラフィックはどう管理されてるの?よくわからない。国内ホストに対して偽のDNSやリセットパケットが注入されてるのは見たことないけど、北京のGoogleサーバー(AS24424)が一度ブラックホールにされたって噂はあるよ。 GFWはすべてのホスト間のトラフィックの中央ハブなの?中央管理システムはあるはずだけど、単一のハブではないよ。 それとも、住宅用ASNと商業用ASNの間だけ?うん、注入デバイスはIXPやASの境界に配置されてる。 英国やイランでは、ISPに頼ってIPレベルで多くの検閲が実施されてる(例えばBT Cleanfeed)し、DNSブロックもあるけど、住宅ホスティングがどう扱われてるかはあまり追えてない。イランはテヘランに管理されてる中国のようなもっと中央集権的なシステムだと思う。 もしかして内部トラフィックは全部禁止されてるの?いや、内部のHTTPSトラフィックはその時間帯は禁止されてないよ。

一番憂鬱なのは、中国で起こることが最終的には西側でも起こるってこと。アメリカやイギリス、EUの官僚たちが「この能力が子供たちを救う」ってキャンペーンを作ってるのは確かだし、すぐに実施すべきだって言ってる(もちろん、政治家や特定の人たちは免除されるけど)。

これは避けられないことじゃない。市民社会は組織化して、調整して、これについてPRにお金を使う必要がある。今はリベラルな人たちがほとんど何もしないで、物事が良くなるのを待ってるけど、それじゃ足りない。(ただ歩き回るだけじゃ本当に効果的じゃないしね。)

余談だけど、中国の内部ウェブサイトが証明書なしで完全に無防備で、HTTPSを使わず、ログインが必要なものがこんなに多いのは驚きだね。

中国のインターネット検閲とその対策の簡潔で不完全で主観的な歴史 https://danglingpointer.fun/posts/GFWHistory 6日前に投稿された (https://news.ycombinator.com/item?id=44898892)

これをシェアしてくれてありがとう。数年前にAレベルのプロジェクトで調べたことがあって、すごくいいクロスリファレンスだね。V2Rayについてはあんまり触れなかったけど。

世界中が中国からの接続をブロックすべきじゃない?

中国製品の輸入をブロックするよりは、こっちの方がまだ現実的かもね。まあ、ちょっとだけだけど。