如何看待奇安信披露伊朗断网真相，称其没断网，有封堵？

来源：奇安信集团

日前，伊朗政府发言人法蒂玛·穆哈杰拉尼和伊朗网络警察部队（FATA）表示，伊朗政府已限制互联网访问，以回应以色列的网络攻击，互联网减速旨在维护互联网稳定，此举是“暂时的、有针对性的、可控的，旨在抵御网络攻击”。

根据国内外多家媒体报道，伊朗当地时间18日全国出现大面积断网。“拔网线”、“网络战”等各种猜测众说纷纭。奇安信XLab实验室探测感知发现，本次“断网”事件是伊朗主动采取的网络封堵策略，截止6月19日12时，从外界访问伊朗互联网仍有超过95%的服务处于瘫痪状态。

以下为奇安信XLab实验室第一时间提供的详细事件分析报告：

​伊朗网络事件分析 

在网络安全领域，数据是洞察事件的核心依据。奇安信 XLab 实验室依托大规模基础数据支持，具备多领域全局视野，能够实时监测互联网活动，捕捉到诸多网络现象。在 6.18 伊朗网络事件中，通过多维度数据监测与分析，我们也对事件全貌有了较为清晰的认知。从网络连通性角度来看，伊朗网络实际上并未真正断开，而是有选择的保留了部分服务。

1、无论是我们自己看到的，还是公网上提供监测服务的数据，伊朗网络实际上并未真正断开。

整个主干网路由表中，由伊朗运营商发出的路由前缀数量始终保持稳定，未发生显著变化，这表明网络底层的路由架构未遭受根本性破坏；事实上，伊朗运营商仍然在持续对外发起路由广播，维持自身在网络空间内的存在。

在奇安信 XLab malware&payload 平台上，持续有来自伊朗方向的流量接入。

在奇安信 XLab 基础数据平台如DNS平台，也一直存在来自伊朗方向的流量交互。

2、伊朗方面采取了两次明显的网络封堵动作，这一点无论是从奇安信的基础数据还是公开数据均显示，网络状况呈现出显著异常波动。如下图公开CF的数据显示，第一次发生在北京时间6月17日22时，源自伊朗方向的网络流量出现断崖式下滑，降幅达到正常水平的80%以上。本次网络流量骤降持续了近6个小时，至 18 日凌晨 4 时，流量开始缓慢回升，最高回升至正常水平的90%。第二次发生在18日21时，流量再次出现大幅下跌，本次下跌的幅度更大，全流量降幅达到正常水平的95%。因此推测出第二次封堵覆盖的范围更广，针对的目标更多。

3、奇安信 XLab实验室的DNS流量显示，北京时间6月17日22时与6月18日21 时的两次网络封堵，伊朗官方采取的网络管控策略存在显著不同。

6月17日22时，网络数据流量和DNS流量均出现明显下降。

6月18日21时，网络数据流量断崖式下滑，但DNS流量在短暂下跌之后呈现出明显上升趋势。

DNS流量两次差异的原因可能在于对DNS服务封堵策略的不同所导致的。

1、第一次封堵是针对某些DNS服务器，比如特定区域/特定运营商的DNS服务。

2、第二次封堵DNS服务器的范围更广，因此大量的客户端通过DNS请求在不断尝试连接，甚至连接频次还会加剧，这就会导致网络流量减少的情况下DNS请求量上升。这与大型互联网应用被封禁或者不能提供服务时的表现一致。这种情况在以往重大网站失能时多次出现。

对请求来源进行进一步的细化分析，我们发现伊朗的TCI以及Mobinnet等运营商的请求数据波动在第一阶段请求较小，第二阶段请求量显著上升。与之相对应的MCCI和Irancell在两个阶段的请求量都有显著的变化。我们推测是不同的运营商有不同的策略导致的。考虑到MCCI和Irancell的业务范围，移动运营商受影响更大。这与上面提到的封堵策略不同的特点是一致的。

4、通过奇安信XLAB-Hunter探测感知，在第二次（18日21时左右）的网络封堵之后，截止6月19日12点，从外界主动探测伊朗网络能获得反馈信息大幅减少，跌到了正常水平的2%~5%。这表明从外界访问伊朗互联网仍有超过95%的服务处于瘫痪状态。