背景
2025年6月初,伊朗与以色列之间的军事冲突迅速升级,地区局势骤然紧张。鉴于战争背景下网络基础设施会是重要打击目标,网络空间成为冲突延伸的重要战场。
为了系统性观测战争态势对网络基础设施的冲击与演化,我们对伊朗资产启动了高频网络空间测绘和收集伊朗整体流量数据计划。该计划在冲突初期便持续运行,直至2025年6月19日,捕捉到了伊朗全国性大面积断网事件的发生。这一突发事件引发全球关注,事件中,我们关心的:伊朗断网程度;主动还是被动断网?网络服务态势;运营商变化情况;全国流量变化情况;断网期间存活的网站服务情况这些要点将逐一分析。
概述
我们根据Quake高频网络空间测绘和收集伊朗整体流量数据进行综合分析,得到了以下发现:
1 伊朗主动断网始末
伊朗全国断网事件(当地时间6月18日傍晚-21日上午)主要因防范以色列网络攻击。根据伊朗通信与信息技术部声明,此举是针对“敌方侵略者滥用通信网络”的临时性安全措施。断网期间,互联网及电话服务被切断,但21日已恢复。事件反映了伊朗与以色列紧张关系加剧背景下,其对网络安全威胁的警惕性提升。
2 伊朗断网程度
通过测绘伊朗常用端口服务存活数量和IP存活数量,6月19日断网后和断网前的数据进行对比,数据大幅下降,约 93.1% 的网络中断。
3 网络服务态势
在断网期间,伊朗 Top 10 自治系统(Autonomous System, AS)中,除 AS142578 外,其余自治域的可测绘端口服务数量均显著下降至接近于零的水平。AS142578(E-Large (HongKong) Limited)端口服务数量处于正常波动范围内,没有受到断网影响,它是由一家中国香港公司在运营。
4 运营商变化情况
在断网期间,伊朗 Top 10 运营商中,有9家为伊朗当地企业和政府单位,他们的端口服务数量均显著下降至接近于零。另外一家为中国香港公司,端口服务数量处于正常波动范围内,没有受到断网影响。
5 全国流量变化情况
telescope流量显示在整个6月份,从1日开始,伊朗就已经遭受DDOS攻击,直至断网前,陆陆续续受到攻击。随着断网事件的到来,telescope流量达到了历史低谷值;Google搜索是伊朗地区群众最喜欢使用的服务之一,其流量在断网期间接近0%的低洼数值区,在6月19日后恢复正常,早于政府安排的断网时间。
6 断网期间存活的网站服务情况
存活网站的归属单位主要是教育行业和普通公司,IP集中在德黑兰省。伊朗将教育系统视为抵御西方文化渗透的防线。保留教育行业的网络访问,可确保学生和教师继续使用符合伊斯兰伦理的本土化内容,同时阻断国际互联网的“不道德”信息。另外也保留了政府宣传部门相关网站,战时保留政府宣传部门网站,可以动员与凝聚社会力量,为日后权威信息发布,稳定社会秩序和作为国际舆论斗争工具做准备。
分析详情
伊朗主动断网始末
2025年6月18日,据央视总台记者消息,当地时间18日傍晚起,伊朗全国出现大面积断网。
2025年6月20日,据彭博社报道,伊朗在全国范围内切断了互联网和电话通信服务,并告知民众此举是为防范以色列网络攻击而采取的必要措施。根据半官方的塔斯尼姆通讯社引用的一份声明,伊朗通信与信息技术部表示,鉴于“敌方侵略者对本国通信网络的滥用”,这项措施是必要的,且是暂时性的。
2025年6月21日,据央视总台记者消息,自当地时间21日上午,伊朗已经恢复网络服务。此前,伊朗曾大面积断网。
根据多方信息综合分析,本次伊朗断网事件可判定为政府主动行为,具体依据如下:
1、政府官方动作伊朗通信与信息技术部于2025年6月18日正式宣布全国临时断网,声称是为抵御以色列的网络渗透攻击,这与以色列连续六天对伊朗军事、核设施实施打击的时间线高度重合。
2、技术数据佐证国外网络监测数据显示,断网期间伊朗全境互联网连接率骤降至5%以下,国际网络通道被完全切断,且同步封锁WhatsApp、Telegram等境外平台。360Quake高频服务测绘数据显示,断网期间伊朗境内可访问服务数下降了93.1%。这种系统性断网模式与被动遭遇网络攻击的常规表现存在本质差异。
3、历史行为印证伊朗政府曾多次使用断网手段应对危机,包括2019年防范美国"颜色革命"渗透事件,此次在政权遭遇黑客入侵电视台、银行数据被清空等复合危机下,延续了相似应对逻辑。
服务可用性分析
Quake通过对伊朗常用端口开放服务的持续性高频测绘,整体观察到本次断网事件呈现出非常鲜明的分阶段特征:
断网前波动阶段(6月14日~6月18日)
6月14日:812,626 —— 处于断网前的高位运行,说明整体互联网服务体系正常活跃;
6月15日:726,977 —— 出现小幅回落,可能与局部限流、预备封控策略开始实施有关;
6月16日、17日、18日:连续几日仍维持在70万至78万区间,说明在断网前夕大规模资产仍保持活跃,未出现整体性撤路或提前性大规模关闭。
突发断网阶段(6月19日~6月20日)
6月19日:55,563 —— 单日暴跌93.1%,核心断网指令执行生效;
6月20日:50,715 —— 维持极低水平,核心封控机制持续生效;
断网形态为“迅速坍缩式”断流,且几乎全部资产集中快速失联,显示出高效的统一管控能力。
网络恢复初期阶段(6月21日~6月23日)
6月22日:583,944 —— 网络开始快速恢复,接近断网前 70% 资产水平;
6月23日:548,734 —— 恢复节奏略有平缓,但整体恢复趋势稳定;
恢复过程呈现出自核心骨干向商业运营商逐级释放的模式。
常用端口开放服务存活数量图
自治域维度分析
自 2025 年6月19日至2025年6月21日,伊朗 Top 10 自治系统(Autonomous System, AS)中,除 AS142578 外,其余自治域的可测绘端口服务数量均显著下降至接近于零的水平。
AS142578(E-Large (HongKong) Limited) 端口服务数量处于正常波动范围内,没有受到断网影响,它是由一家总部位于 中国香港公司来运营的,可能由以下原因导致他们没有执行伊朗政府的断网指令:
1 、 人工工作疏忽导致指令没有传达到位
2 、 承担重要角色,不能中断
3 、 其他未知原因
伊朗Top10自治域对应的端口服务存活数量图
伊朗 Top 10 自治系统(Autonomous System, AS)归属组织、国家说明:
|
ASN |
所属组织 |
归属国家 |
简单介绍 |
|---|---|---|---|
|
AS58224 |
Iran Telecommunication Company (PJS) |
伊朗 |
伊朗国家电信公司(简称 TIC 或 MCI),是伊朗最大的电信和互联网基础设施提供商,承担主要骨干网络。 |
|
AS50810 |
Mobin Net Communication Company |
伊朗 |
MobinNet 是伊朗的一家主要无线宽带互联网服务提供商,专注于家庭与企业用户市场。 |
|
AS43754 |
Asiatech Data Transmission Company |
伊朗 |
Asiatech 是伊朗大型商业ISP,提供互联网接入、数据中心托管及企业网络服务。 |
|
AS31549 |
Aria Shatel Company Ltd |
伊朗 |
Shatel 是伊朗领先的私营互联网服务商之一,主要面向个人及企业用户提供宽带与增值服务。 |
|
AS42337 |
Respina Networks & Beyond PJSC |
伊朗 |
Respina 是伊朗本地主要ISP之一,提供广泛的企业互联网、数据中心和云服务。 |
|
AS60631 |
Pars Parva System LLC |
伊朗 |
Fanap Telecom 隶属于Fanap集团,提供综合电信与IT服务,主要服务政府与大型企业。 |
|
AS49100 |
Pars Online PJS |
伊朗 |
Pars Online 是伊朗较早的民营ISP之一,提供ADSL、VDSL和企业专线等服务。 |
|
AS142578 |
E-Large (HongKong) Limited |
中国(香港) |
是一家总部位于 中国香港 的技术企业,其自治系统编号为 AS142578 ,主要用于网络通信服务。 |
|
AS202468 |
|
伊朗 |
Zitel 是新兴的互联网服务提供商,主打家庭与小型企业市场,提供光纤与无线宽带。 |
|
AS25184 |
Afranet |
伊朗 |
提供的服务可能包括:互联网接入、数据中心托管、CDN 及边缘计算服务 |
可以看到10家归属组织中,9家归属本地组织,1家归属于香港企业。
运营商变化情况
自 2025 年6月19日至2025年6月21日,伊朗 Top 10 运营商与Top 10 自治系统相关组织大部分雷同,对应的端口服务存活数量趋势大致相同,均显著下降至接近于零的水平,除了来自香港的运营商 E-Large (HongKong) Limited未受断网影响,端口服务存活数量在正常方位内波动。
2025年6月21日上午起,伊朗境内主要ISP陆续恢复互联网服务,整体网络体系快速重建,但各运营商的恢复速度和恢复程度存在一定差异,显示出其背后不同的管控优先级与技术调度节奏:
伊朗电信(TIC/MCI):作为国家核心骨干运营商,其资产恢复速度最快,6月22日已恢复至203,318个活跃资产,基本接近断网前水平,显示其在国家级恢复调度中优先保障。
MobinNet 与 Asiatech:两家大型民营ISP同样在22日迅速恢复,其中 MobinNet 恢复至55,676个资产,Asiatech 恢复至29,934个,恢复幅度相对平稳,表明民营ISP在统一动员指挥下具备较高恢复执行力。
Aria Shatel、Respina、Pishgaman:多家中型运营商恢复进度稍慢,但整体已恢复至断网前70%-80%水平,符合国家整体恢复计划的逐级推进逻辑。
Pars Parva System LLC 与 Noyan Abr Arvan Co.:两家重点云计算与CDN相关服务商恢复速度最慢,至6月23日分别仅恢复到4,372与5,425个资产,远低于断网前水平,显示出这类外部依赖度高、与国际流量关系密切的边缘服务,在管控序列中被置于较后优先级,可能仍存在部分业务受限。
E-Large (HongKong) Limited:境外实体 E-Large 始终维持相对稳定,未受断网事件明显波动,显示其特殊跨境角色在整个断网与恢复过程中较为独立。
Top10运营商对应的端口服务存活数量图
Top10运营商相关信息:
|
公司英文名称 |
公司中文名称 |
类型 |
归属/母公司 |
归属国家 |
备注说明 |
|---|---|---|---|---|---|
|
Iran Telecommunication Company PJS |
伊朗电信公司 |
固网/电信基础设施 |
伊朗政府 |
伊朗 |
国营运营商,国家级电信骨干企业 |
|
Mobin Net Communication Company (Private Joint Stock) |
莫宾网通信公司 |
ISP / 宽带服务提供商 |
Mobin Trust Group |
伊朗 |
提供固网、数据中心、云服务等 |
|
Asiatech Data Transmission Company |
亚洲科技数据传输公司 |
ISP / 数据传输服务 |
AsiaTech Group |
伊朗 |
提供国际带宽和IP骨干网服务 |
|
Aria Shatel Company Ltd |
阿里亚夏TEL公司 |
ISP / 固网接入 |
Shatel Group |
伊朗 |
Shatel旗下子公司,主营宽带业务 |
|
Respina Networks & Beyond PJSC |
雷斯皮纳网络及延伸股份公司 |
ISP / 网络服务提供商 |
Resalat Holding Group |
伊朗 |
提供互联网接入、数据中心等服务 |
|
Pishgaman Toseeh Ertebatat Company (Private Joint Stock) |
先行者通信发展公司 |
ISP / 增值服务提供商 |
私营企业,无明确隶属 |
伊朗 |
提供多种通信解决方案和服务 |
|
Pars Parva System LLC |
帕尔斯·帕尔瓦系统有限责任公司 |
技术服务/系统集成 |
私营企业,无明确隶属 |
伊朗 |
主要涉及IT和通信系统集成业务 |
|
Noyan Abr Arvan Co. (Private Joint Stock) |
诺扬阿布·阿尔万公司 |
CDN / 视频加速服务提供商 |
私营企业,ArvanCloud平台运营商 |
伊朗 |
专注于CDN、视频流优化 |
|
E-Large (HongKong) Limited |
易浪(香港)有限公司 |
海外投资公司 / CDN服务 |
香港注册公司,在伊朗有业务部署 |
中国(香港) |
在伊朗提供CDN节点和技术支持 |
|
Tose'h Fanavari Ertebabat Pasargad Arian Co. PJS |
托塞法纳瓦里·埃特巴巴特·帕萨尔加德·阿里安公司 |
技术创新公司 |
Pasargad Toseh Group |
伊朗 |
致力于通信技术研发与应用 |
全国流量变化情况
Telescope趋势
在整个6月份,从1日开始,伊朗就已经遭受DDOS攻击(telescope 短时间内垂直上升),攻击在6月4日至6月6日有短暂的停歇,后续伊朗不断地遭受攻击;直至6月13日开始telescope不断下降(可能与初步断网相关)同时未见攻击流量;DDOS攻击在6月15日卷土重来,攻击持续到6月18日,telescope也达到了历史低谷值,尔后未见攻击。
伊朗互联网连接 Telescope
Google搜索使用趋势
Google搜索是伊朗地区群众最喜欢使用的服务之一,其在伊朗的流量趋势可以反应出伊朗群众使用情况,在6月18日至6月19日间,出现了接近0%的低洼数值区,这表明期间伊朗群众使用Google搜索受限,民众通信基础设施遭受封堵或一定程度损毁,在6月19日早晨恢复正常,受限时长共20小时30分钟。
伊朗互联网连接 Google(search)
断网期间存活的网站服务情况
经过对断网时期的存活网站进行单位归属,页面,域名,whois等分析,存活网站的归属单位主要教育行业和普通公司。伊朗将教育系统视为抵御西方文化渗透的防线。保留教育行业的网络访问,可确保学生和教师继续使用符合伊斯兰伦理的本土化内容,同时阻断国际互联网的“不道德”信息。
另外也保留了政府宣传部门相关网站,战时保留政府宣传部门网站,可以动员与凝聚社会力量,为日后权威信息发布,稳定社会秩序和作为国际舆论斗争工具做准备。
数据显示,存活的资产IP集中在德黑兰,是伊朗的首都,伊朗政治、经济、文化、教育和交通中心,说明在战时最后保留的重要应用系统大多存在于此。
德黑兰作为伊朗的网络中枢,其IP集中现象反映了国家关键数字基础设施的战略布局。在战时状态下,这里将成为维持政权运转的最后数字堡垒——政府通信系统、金融结算网络、能源管控平台和军事指挥系统都将在此坚守。
这种集中化架构虽有利于资源整合和快速响应,却也面临"单点失效"风险。
END
原文始发于微信公众号(360Quake空间测绘):从网络空间看伊朗断网事件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论