Source: GFW Report — Le 20 août 2025 entre 00:34 et 01:48 (UTC+8), la GFW a provoqué une perturbation massive des connexions Internet entre la Chine et l’international en injectant de façon inconditionnelle des paquets TCP RST+ACK visant le port 443. Le rapport détaille les mesures, l’empreinte réseau observée et une attribution encore ouverte.

Principales observations:

  • Blocage ciblé sur TCP 443 uniquement; d’autres ports communs (dont 22, 80, 8443) n’étaient pas affectés.
  • Injection RST+ACK inconditionnelle: trois paquets RST+ACK sont injectés par tentative, interrompant la connexion.
  • Déclenchement asymétrique: depuis la Chine, le SYN client et le SYN+ACK serveur déclenchent des RST; vers la Chine, seul le SYN+ACK serveur déclenche des RST.

Détails techniques (mesures inside-out et outside-in):

  • Inside-out (depuis CN vers l’extérieur): le SYN client déclenche 3 RST+ACK (seq relative 0; fenêtres TCP 1980/1981/1982), puis le SYN+ACK serveur déclenche 3 RST+ACK (seq relative 1; fenêtres 3293/3294/3295). Outils: nc, tcpdump.
  • Outside-in (depuis l’extérieur vers CN): le client reçoit 3 RST+ACK avec seq relative 1 après le SYN+ACK du serveur en Chine; aucun blocage observé quand aucun SYN+ACK n’est renvoyé (hôte sans port ouvert).
  • Port scanning: tests nping/nmap montrent l’impact limité au port 443 durant la fenêtre de l’incident; à 01:48 CST, le phénomène avait cessé.

Attribution et empreintes:

  • Les paquets injectés pendant l’incident montrent des TTL et fenêtres TCP croissants (p.ex. TTL 96/97/98; fenêtres 2072/2073/2074) et le flag IP DF activé.
  • Les empreintes ne correspondent pas exactement aux dispositifs GFW connus (similitudes partielles avec MB-1 (Niere et al.) et GFW (II) (Wu et al.)), qui envoient classiquement trois paquets identiques; ici, des champs sont incrémentaux. Hypothèse: nouvel équipement GFW ou mode/état inédit d’un équipement existant.

Temporalité et objectif du rapport:

  • Durée: environ 74 minutes (fin constatée avant 01:48 UTC+8, 20/08/2025).
  • Le rapport compile des mesures et analyses et appelle la communauté à partager des observations pour compléter la compréhension de l’événement. Type d’article: rapport d’incident visant à documenter un blocage réseau exceptionnel et sa signature.

TTPs / empreintes observées:

  • Technique: injection de paquets TCP RST+ACK visant à interrompre les connexions.
  • Cible: port 443 uniquement (TLS), autres ports testés non affectés.
  • Déclencheur: SYN et SYN+ACK (depuis CN), SYN+ACK uniquement (vers CN).
  • Paquets injectés: séries de 3, TTL croissant, fenêtre TCP croissante, flag DF activé, numéros de séquence relatifs 0/1 selon le sens.
  • Outils/méthodologie: tcpdump, nc, nping, nmap, curl.

🔗 Source originale : https://gfw.report/blog/gfw_unconditional_rst_20250820/en/