0. 前传
说点和自己有关的,20年前在河南某大学读书时,当时河南省的教育科研网省网中心就在这所学校,当时一个老师的研究生就在研究修墙,他们的做法是花1.5W(这在当时是天价)左右买了个千兆光纤网卡插在一台Linux电脑上,然后从省网的出口光纤上分出来一束光接到这个千兆光纤网卡上,再在这台计算机上运行审查软件,分析通信协议和内容,符合条件,就发送包进行阻断。
不知道今天的河南防火墙是不是他们的研究被发扬光大了。
河南建立防火墙的原因是因为2022年河南村镇银行引发的大规模抗议,促使地方政府建立自己的网络防火墙,这样自己封着方便,万事不求人啊。
河南的网络防火墙是正式的有记录的第一个省级防火墙,另外据网友反馈,湖北,新疆,西藏也在四五年前就有自己的防火墙,这是典型的审查机制下沉现象,看来中央是默许了地方这样做。
郑州大学的学生反馈,他们连本省的学术网站都无法打开,但他们在外省的同学就可以打开。
1. 河南防火墙介绍
我们与多所大学合作发表在 S&P’25 的研究揭示了一个令人担忧的趋势:中国正在出现地区性网络审查。 在国家级防火长城(GFW)之内,河南省部署了自己的网络防火墙。尽管技术上不如GFW健壮,但其封锁行为更加激进和不稳定——其封锁的网站数量一度是GFW的10倍。
河南的中间设备位于第 5 跳(中国联通省级网络),而 GFW 出现在更深的第 7 跳(中国联通骨干网)。这些结果证实了两个审查实体都作为中间设备运行,其中河南设备距离客户端更近。这一证据有力表明,河南的地区性审查是独立于GFW部署的,并且这些审查设备位于河南省境内[1]
| 跳数距离 | ASN | ISP | |
|---|---|---|---|
| 河南 | 5 | 4837 | 中国联通河南省分公司网络 |
| GFW | 7 | 4837 | 骨干网 - 中国联通 |
中文版论文:gfw.report/publications/s
河南的中间设备位于第 5 跳(中国联通省级网络),而 GFW 出现在更深的第 7 跳(中国联通骨干网)。这些结果证实了两个审查实体都作为中间设备运行,其中河南设备距离客户端更近。这一证据有力表明,河南的地区性审查是独立于GFW部署的,并且这些审查设备位于河南省境内
| 跳数距离 | ASN | ISP | |
|---|---|---|---|
| 河南 | 5 | 4837 | 中国联通河南省分公司网络 |
| GFW | 7 | 4837 | 骨干网 - 中国联通 |
2. 主要攻击手段
2.1 TCP重置攻击
重置(reset)是传输控制协议(TCP)的一种消息,例如服务器端在没有客户端请求的端口或者其它连接信息不符时,系统的TCP协议栈就会给客户端回复一个重置通知消息,该功能本来用于应对例如服务器意外重启等情况,而河南防火墙河南地区性防火墙会针对某些服务器名称指示(SNI)和 HTTP Host 值封锁 TLS 和 HTTP 连接,但其运作方式与GFW不同。最显著的区别是,河南的地区性防火墙通过向客户端注入一个包含固定 10 字节载荷的 TCP RST+ACK 数据包来封锁 TCP 连接。这种独特的 TCP RST 数据包载荷将河南防火墙与 GFW 注入的所有三种类型的数据包区分开来。
2.2 HTTP Host和TLS SNI黑名
河南防火墙对基于 HTTP Host 和基于 TLS SNI 的审查使用同一个封锁列表,在 2025 年 3 月 4 日之前,河南防火墙的封锁列表一直远大于 GFW 的封锁列表。河南防火墙使用的封锁列表也针对与其他国家相关的州或市政府网站。例如,美国的大多数州政府网站,如 texas.gov、seattle.gov、alabama.gov、nc.gov 都在河南被封锁,但未被 GFW 封锁。与 GFW 封锁列表中出现的 83 个 *.gov* 域名相比,河南防火墙封锁了 1,002 个 *.gov* 域名,这表明其倾向于封锁任何展示来自世界各地的治理数据或新闻内容。事实上,河南防火墙比 GFW 更倾向于针对国家代码顶级域名(ccTLD)。其中一些封锁范围很广:2024 年,河南在1月19日,和2月1日至2月2日封锁了测试的所有 5,334 个 *.com.au 域名,在 2 月 15 日至 3 月 4 日封锁了所有 2,075 个 *.co.za 域名,在 2 月 8 日至 3 月 4 日封锁了所有 1,547 个 *.org.uk 域名。这些可能是过度封锁的实际例子,即防火墙包含过于宽泛的规则。目前不清楚河南防火墙为何会重复封锁和解封这些国家代码二级域名。
3.与防火长城的区别和联
单向封
从中国境外发送探测不会触发河南防火墙,因为河南的防火墙只审查离开河南的流量,只有离开河南的流量被河南防火墙封锁。
