世界を動かす技術を、日本語で。

2025年8月20日におけるGFWの無条件ポート443ブロックの分析

2025年8月20日原文(gfw.report)

概要

  • 2025年8月20日未明、 Great Firewall of China (GFW) による異常な TCP RST+ACKパケット注入 が発生
  • TCP 443番ポート のみ対象、他の一般的なポートには影響なし
  • 注入は 中国内外双方の通信 に発生し、発動条件に非対称性
  • 既知のGFW装置の指紋と一致せず、新型または誤動作の可能性
  • 事象は約 74分間のみ発生、追加観測が必要

中国GFWによるTCP 443番ポート遮断異常事象の詳細解析

  • 2025年8月20日0:34~1:48(北京時間)、GFWが TCP 443番ポート 全通信に対し 無条件RST+ACKパケット注入 を実施
  • この影響で 中国と海外間のインターネット通信が大規模に遮断 される事象
  • 22、80、8443等の他ポート では同様の遮断は未観測
  • 中国発通信 ではクライアントのSYNパケットとサーバのSYN+ACKパケットそれぞれが 3個のRST+ACK注入 を誘発
  • 海外発通信 ではサーバのSYN+ACK応答のみが RST+ACK注入 を誘発、SYN単体では発動せず
  • 注入装置のパケット指紋 は既知GFW装置と一致せず、 新規装置または異常動作 の可能性
  • 事象発生期間が短く、限定的な観測のみ。 追加情報提供を呼びかけ

遮断発動の詳細検証

  • 中国内(AS45090, Tencent Cloud, Beijing) および 国外複数拠点 からのプローブで遮断再現

    • ncコマンド による443番ポートへのTCPハンドシェイク試行で 接続拒否
    • tcpdump でSYN送信時に 3つのRST+ACKパケット (ウィンドウサイズ1980, 1981, 1982)が観測
    • サーバのSYN+ACK応答でも 3つのRST+ACKパケット (ウィンドウサイズ3293, 3294, 3295)発生
  • 国外から中国向け 通信でも RST+ACK注入 を確認

    • クライアントは 3つのRST+ACKパケット のみ受信、SYN+ACK応答が発動条件
    • 同一/24サブネット内で 443番が閉じているIP には発動せず
  • 影響ポートの限定性

    • 443番のみが対象、他の一般的なポート(1-72, 22, 80, 444, 8443など)は未影響
    • 全ポートスキャン時には 事象消失、遮断期間の短さを示唆

GFW遮断装置の指紋・特性分析

  • GFWは多様な装置 で構成され、RST注入時のパケット指紋も装置ごとに異なる
  • 今回の異常事象の 装置特定を目的 に、遮断終了後も 同一経路でプローブ調査
  • 観測されたRST+ACKパケット は、既知装置(NiereらのMB-1やWuらのGFW(II))と類似点あるが、 完全一致せず
    • 既知装置は 同一内容の3連続RST+ACK だが、今回は TTLやウィンドウサイズが漸増 する特徴
    • IPフラグDF(Don't Fragment) 設定、TTL値やウィンドウサイズの微妙な差異
  • 新種装置 または 既知装置の異常動作 の可能性が高いと推定

参考:既知GFW装置によるRST注入の指紋例

  • HTTP Hostベース遮断 :RSTパケットのTTL値やウィンドウサイズ、フラグ設定に特徴
  • TLS SNIベース遮断 :同様にRST注入時のパケット構造に固有のパターン

まとめ・今後への示唆

  • 今回の 大規模遮断事象 は、 GFWの新たな運用形態や障害 の可能性を示唆
  • 443番ポート(HTTPS通信) だけを狙い撃ちした点、発動条件の非対称性が特徴
  • 遮断装置の挙動解析 が進めば、GFWの内部構造や運用ポリシーの変化把握に繋がる見込み
  • 短期間発生・観測データ限定 のため、 追加情報・事例共有を推奨

Hackerたちの意見

ひどいな、これはインターネットの外出禁止令だよ。戦争中に国境を越えてインターネットがシャットダウンされることを想像するのは珍しくないよね(台湾に対してみたいに)。

それがLoRAの素晴らしいところなんだよね。分散型のテキストメッセージ、家でもどこでも使える超安いラジオ。アマゾンで10〜35ドルで買えるし。少なくともメッセージは届くよ。

実際、何か変わったことを繰り返し行うのは、リアルに起こったときに人々が警戒しないようにするための一般的な戦術なんだよね。(モサドがフランスの港から7隻のボートを盗んだとき、彼らは数ヶ月前からパイロットに毎晩23時にエンジンを始動させるようにして、寒さ対策だと偽装してたんだ。いざその日が来たとき、エンジンを始動させて出発したけど、誰も気づかなかった。)

バックアップ用にスターリンクミニみたいなのを持っていけるかな?外国人としてそんな状況に閉じ込められるのはかなり心配だと思う。

その種のコントロールのインフラは明らかにもう存在してる。でも、これらの出来事がどれだけ調整されているのか、意図的なのか、それともテストや内部の変更の副作用なのかは不明だね。

ひどいね、これはインターネットの外出禁止令だよ。これがひどいと思うなら… 中国では許可なしにブログすら持てないからね。「AWS」にお金を払っても、ICPの登録をしないとポート80や443は開かない。ICPの登録は中国にいる時にしかできないし、承認も必要だしね。サイトにもナンバープレートみたいに表示されるべきだよ。「AWS」が引用符で囲まれているのは、実際にはAWSじゃなくて、追い出されたから。北京では実際にはSinnetだし、寧夏ではNWCDだよ。中国のDNSサーバーからしか中国のIPにポイントできないから、アメリカのRoute53を使ってAレコードを追加しようとすると、厄介なメールが来るよ(従わないとポートが再度ブロックされるかも、しかも永久にね)。要するに、彼らは国境を越えたトラフィックをシャットダウンできるし(大ファイアウォールがパケットにイライラするとランダムに起こることもあるし、中国のビジネスアワー中は過負荷になることもある)、望むウェブサイトを簡単にシャットダウンできるんだ。

アメリカの会社でリモートワークしてる人たちが、中国にいながら「在宅勤務」してる間にミーティングに接続できなかったらどうなるんだろうね!普通はVPNの問題に苦労するけど、主権国家がパケットを注入してくるのは確かに新しい楽しみだね。

その接続はうまくいってたんじゃないかな。上司を知っておくのはいいことだね。

これってどれくらい一般的なのかな?どんな会社がそうなの?広まってるとは想像しにくいんだけど。

会議中に突然「インターネットが切れた」って言って、ルーターのせいにした人、どれくらいいるんだろう…。

中国周辺でリアルなVPNが必要な人は、メインストリームではないサービスをお金を払って使ってるよ(V2rayとか似たようなものを使って)。Shadowrocketがアプリストアで一番のアプリになってる理由があるんだ。市販のVPNアプリを使って問題が起きてる人も多いと思うけど、中国のパワーユーザーはいつもVPNを使ってて、通常は日本に接続してるから、この問題はないんだよね。

普通、彼らはVPNの問題に対処しなきゃいけないよ。中国本土のサービスにアクセスできる特別なバーチャルSIMカードや、問題なく機能するVPNもあるよ。中国にいたとき、両方使ってた。

Hacker Newsで議論の続きを見る