Analysis of the GFW's Unconditional Port 443 Block on August 20, 2025

20 августа 2025 г. с 00:34 до 01:48 по Пекину GFW безусловно сбрасывал все TCP-соединения на 443-порт, разрывая трафик между Китаем и остальным миром.

Ключевые факты

Цель: только 443/tcp; 22, 80, 8443 не трогались.
Механизм:
- из Китая: SYN или SYN+ACK вызывали три поддельных RST+ACK;
- в Китай: RST посылались только на SYN+ACK сервера.
Оборудование: отпечатки не совпадают с известными GFW-узлами ⇒ либо новое устройство, либо сбой.

Примеры трафика

Из Китая наружу

CN_IP → NON_CN_IP:443 [SYN]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 0, ack 1, win 1980-1982)
NON_CN_IP:443 → CN_IP [SYN+ACK]
NON_CN_IP:443 → CN_IP [RST+ACK] (seq 1, ack 1, win 3293-3295)

Снаружи в Китай

192.168.0.162 → baidu.com:443 [SYN]
baidu.com:443 → 192.168.0.162 [SYN+ACK]
baidu.com:443 → 192.168.0.162 [RST+ACK] (seq 1, ack 1, win 2072-2074)

Инцидент длился 74 минуты; приглашаем сообщить дополнительные наблюдения.

Комментарии (79)

Участники обсуждают, как именно в КНР контролируется трафик: часть считает, что это централизованно через «Великий файрвол», другие — что фильтрация разнится по регионам и провайдерам.
Мнения расходятся: кто-то видит в часовом сбое «интернет-комендантский час» и тренировку к отключению интернета в случае войны, кто-то — обычную ошибку конфигурации.
Подчёркивают, что пострадали не только обычные пользователи, но и крупные компании, а также удалённые сотрудники зарубежных фирм.
Обсуждают способы обхода: VPN, нетипичные порты, Starlink, LoRA-радио, eBPF-прокси для игнорирования фальшивых RST-пакетов.
Отмечают, что даже арендовать VPS в «китайском AWS» нельзя без лицензии ICP, а полный разрыв связи может быть «привычным» событием, к которому людей заранее готовят.