伊朗互联网中断超过1000小时，因国家实施审查

执行摘要

根据互联网监控组织NetBlocks的数据，伊朗国家强加的互联网中断已经超过了1008小时的累计全国和地区中断。这场持续的运动代表了使用网络级控制来压制信息流动和公共通信的蓄意和严重升级。技术实施指向通过国家主要电信基础设施执行的中央集权、政府授权的操作。

技术分析

中断不是技术故障或外部网络攻击的结果。NetBlocks的数据表明，中断是在国家骨干网级别实施的，这是对伊朗有限数量的国家控制的互联网服务提供商（ISPs）的中央协调命令的特征。通常通过边界网关协议（BGP）路由撤销或在关键互联网交换点（IXPs）的空路由来切断连接，有效地使整个网络无法从国内外到达。这种技术导致受影响地区或提供商的国际和有时国内数据流量几乎完全下降。停电的精确度和持续时间证实它们是行政政策的产物，而不是其他事件的附带损害。

入侵指标

目前没有识别出任何指标。这一事件构成了自上而下的行政行动，而不是第三方威胁行为者对系统的入侵。显示伊朗主要ASNs（自治系统编号）的BGP路由突然、完全丢失的网络遥测将是正在进行的关闭事件的主要技术指标。

战术、技术与程序

观察到的主要技术是T1562.001：损害防御：禁用或修改工具，特别是在国家层面禁用通信工具。这属于MITRE ATT&CK框架内更广泛的防御规避和影响战略。程序涉及：

• **战术：**影响（TA0040）
• **技术：**网络拒绝服务（T1498） - 资源劫持和直接网络操纵以拒绝可用性。
• **程序：**命令国内电信基础设施撤销BGP公告和空路由流量，为最终用户创造广泛的拒绝服务条件。

威胁行为者背景

该活动归因于伊朗国家，通过其电信监管机构和授权的ISPs行事。目标是政治和社会控制，特别是限制国内协调和信息传播，在民间动乱或政治重要时期，以及限制对内部事件的外部可见性。这种故意的互联网停电模式已经成为伊朗政府几年来的记录工具，尽管当前的持续时间标志着一个值得注意的加剧。

缓解措施与建议

对于伊朗境内的组织和个人，由于国家对物理和逻辑网络层的控制，缓解选项严重受限。规避依赖于可能本身被封锁或非法的工具。一般建议包括：

• **准备：**假设国际和国内连接会定期丢失。为关键业务运营制定离线通信和数据传输协议。
• **替代技术：**探索使用基于卫星的互联网服务，尽管这些通常被禁止并受到严厉的法律惩罚。
• **国际倡导：**包括政府和非政府组织在内的外部组织应继续记录和谴责互联网关闭作为侵犯基本人权和阻碍全球数字经济参与的行为。
• **技术弹性：**全球社区应投资于并部署旨在抵御中央互联网停电的反审查和网状网络技术。