# 从技术角度看伊朗断网

伊朗断网背后隐藏复杂网络体系，防火墙与卫星并存，仍留信息突破口。

每当伊朗爆发大规模抗议，信息流动就戛然而止。网络要么极度迟缓，要么彻底消失，仿佛城市突然被切断了脉络。

可一个现代化国家，如何在“拔掉网线”后仍能运转？难道不会让所有系统瞬间崩溃吗？

答案并不绝对。因为过去十多年，伊朗在全球互联网的躯体里，悄悄打造了一个只属于自己的影子网络。

伊朗的国家信息网络，简称NIN，是一种封闭的内网，完全受国家掌控。它就像一座高墙围起来的沙盒：网站、银行业务、社交和政府服务都被圈进本土系统里，就算与外界失联，国内依然能维持基本运转。

这个架构有两个核心目的。其一是精准停机：政府可以随时封杀国际平台，比如WhatsApp、Instagram或境外新闻，而本地的国有媒体和银行依然畅通无阻。其二是强制所有互联网服务提供商把流量路由到政府网关，让监控、过滤或关闭网络的操作更加随心所欲。

在这张网之上，还有伊朗版的“长城防火墙”——IRGFW。它模仿中国的防火墙架构，却管得更死、更集中，负责拦截、监控全国的网络流量。表面看，它似乎无懈可击。

可再密不透风的墙，总会有缝隙。

伊朗的封锁激进，但并不完美。它依赖的是落后更新的元数据和静态封禁列表，正因如此，漏洞总会在某个角落出现。

一个关键的弱点在于：IP地址并不是固定资产，而是租用的。IPv4地址本就稀缺，常在不同机房、不同地区之间转手。伊朗的过滤系统依赖GeoIP数据库和BGP信息判断哪些IP可信、哪些需要屏蔽，但这些数据总是滞后。

举个例子，一个曾属于伊朗本地服务商的IP，可能后来分配给阿姆斯特丹的服务器，可如果防火墙没来得及更新，它仍然会被默认“放行”。

这意味着总有机会扫描出一些漏网的代理、VPN或跳板机。虽然方法有些“蛮力”，但在全面断网的时刻，哪怕找到一个能用的IP，也能撕开一道通往外界的细缝。

面对封锁，ICMP协议成了最后的退路。

伊朗的防火墙尝试封杀绝大多数外联协议，可ICMP——也就是常用来检测服务器连通性的“ping”命令——很难彻底封死。因为一旦禁止ICMP，很多正常网络功能也会瘫痪。

这就给了工具Pingtunnel可乘之机。

它能把TCP数据伪装进ICMP的“ping包”里，形成一个缓慢却能用的隧道。传输极慢、容易丢包，但至少能支撑文字通信、命令行操作或小文件传输。在断网状态下，“慢但能用”往往已经是救命稻草——哪怕只是开一个远程终端，或发送一条消息，也能与世界重新接触。

另一条秘密通路来自天空。

尽管伊朗严厉禁止民众使用Starlink卫星终端，许多人仍想方设法弄到手。Starlink的卫星信号直接跳过本地运营商，通过NAT和加密隧道共享给周围的亲友。

具体的玩法是：Starlink终端连上卫星，获取一个来自Starlink全球网络的动态IP，本地路由器再把这个连接“桥接”给伊朗境内的设备。政府的防火墙无法检测、无法拦截，因为卫星链路是加密且专有的，唯一能阻断的方式就是实体没收终端。

为了扩散这个连接，用户会在本地路由器上搭建WireGuard服务器，把配置文件分享给可信任的人。这样，他们通过伊朗的本地网络访问WireGuard服务器后，数据会自动绕到Starlink出口，从而直达全球互联网。

这种方式的韧性在于：Starlink加密流量本身无法被深度检测，WireGuard的UDP握手痕迹又极小，而NAT隐藏了真实IP结构，让政府只能看到“加密流量”，却无法判断它通向何处。这样一台终端，就能让多人共享稀缺的卫星网络。

可当全球互联网彻底断开，只剩下国家信息网络NIN，你甚至连境内的朋友都未必联系得上。那又能怎么办？

短信？不安全。伊朗的短信是明文的，政府随时能拦截和存档。电话？同样被完全监控，毫无隐私可言。

真正的生路反而在于——利用本地网络的残存结构，自己搭建一个加密的内部服务。

比如部署一个Matrix Synapse服务器。Matrix是开源协议，支持端到端加密的文字、语音和视频通信，而且是去中心化的，任何人都能搭自己的服务器。只要服务器托管在伊朗本地的VPS上，域名也解析到本地DNS，就能在不访问外网的情况下，为境内的人提供一个相对安全的沟通平台。

因为流量始终留在国内，政府若要封锁，必须连NIN本身一起切断；而Matrix的强加密也保证了就算数据被捕获，内容依然不可读。

在一个被设计为隔绝与监视的数字环境里，求生的办法永远需要顺势而为：用漏洞、用卫星、用内部网络的盲区，搭建自己的隐秘通路。

它不完美，有风险，也需要一定的技术，但在信息被窒息的国度里，哪怕是一根细线，也能让人重新呼吸。