伊朗互联网状况报告：2026年4月

截至2026年4月，伊朗的互联网审查基础设施已形成分层的技术体系，结合了DNS污染、深度包检查（DPI）和选择性IP黑名单，对跨境通信造成系统性限制。

伊朗的网络审查框架源于2010年之后的逐步演进。2010年，伊朗最高领导人下令建立受控互联网基础设施后，通信与信息技术部（MoTT）及其下属机构伊朗国家信息技术组织（NITC）开始部署国家级过滤系统。2011年，伊朗颁布《虚拟空间规制法案》，授予安全部门和通讯监管机构对互联网流量的广泛控制权。此后，伊朗通过采购和自主开发，逐步实现了对国际互联网骨干网出口的深度检测能力。

从技术层面看，伊朗的审查系统采用多层防御模式。首层是DNS级别的污染：主要运营商（MTN-Irancell、Hamrah-e Aval、Rightel等）的递归解析器被配置为对已列入黑名单的域名返回虚假A记录或NXDOMAIN响应。根据OONI在2025年至2026年初的持续测量，此类过滤影响了超过数千个国际媒体、社交媒体、VPN提供商信息页面和加密通讯应用的域名。

第二层是IP级别的黑名单。伊朗运营商维护着已知违反内容政策服务器的IP地址列表，通过BGP路由过滤或防火墙ACL规则阻止对这些地址的连接。与DNS污染不同，IP黑名单对解析器欺骗和应用层DNS转发（如DoH/DoT）的绕过更具韧性，但维护成本和误报风险更高。公开报告表明，伊朗定期在国家级边界路由器处执行此类策略，包括对某些CDN节点的选择性封锁。

第三层也是最复杂的一层是深度包检查（DPI），用于检测和阻止加密隧道协议。伊朗的DPI设备被报告可以识别OpenVPN握手特征、WireGuard数据包签名和某些混淆代理协议的流量模式。根据公开可得的分析，伊朗部署的DPI能力包括：检测TLS ClientHello中的Server Name Indication（SNI）字段内容、识别不规则MTU大小和数据包定时模式、以及对某些已知VPN应用程序的特征签名识别。

2025年至2026年初，伊朗多次扩大了对特定协议的阻止范围。Access Now的《KeepItOn》数据库记录了2025年11月至2026年1月期间，伊朗对Tor网络Snowflake桥接点的间歇性中断，以及对若干WebRTC信令服务器的阻止。同期，根据伊朗域外安全研究者的观察，伊朗运营商对V2Ray/Xray协议的DPI识别精度有所提升，表明该国在实时更新其特征库。

在技术对抗的背景下，多种通用协议和工具展现了不同的实用属性。WireGuard因其精简的握手和较小的数据包头而相对难以通过DPI精确识别，但其固定握手模式仍可被流量统计分析方法检测。OpenVPN的灵活配置允许使用混淆插件和非标准端口，但其较大的握手和数据包开销使其在某些网络条件下易于检测。基于SOCKS5的Shadowsocks因依赖对称密钥而不提供前向保密，同时其单向流量特征容易被DPI识别。Tor网络的Snowflake和WebTunnel等可插拔传输协议通过伪装为WebRTC或HTTPS流量来规避DPI，但在运营商级BGP劫持或DNS污染面前无法保护。ECH（Encrypted Client Hello）和DoH/DoT等加密DNS技术可防止ISP级SNI窃听和DNS污染，但不能绕过IP层黑名单或DPI识别。

伊朗互联网审查的有效性取决于多因素的协调：国家级DNS污染的普遍性使其对未配置应用层加密解析的用户影响最大；DPI的准确性依赖于定期更新的特征库，对新兴或少见协议的识别能力有限；BGP级干预范围有限但代价高，通常针对特定事件。这些限制意味着，混合多层防御的技术方案（如同时使用DoH和协议混淆、或通过可信第三方中继站的多跳隧道）在理论上更难被单一阻止机制完全关闭，但其可用性和性能权衡因网络条件而异。

2026年4月的现状表明，伊朗的网络审查体系正处于持续的技术军备竞赛中。无论是从部署规模、识别精度还是政策更新频率看，该国都在投入资源完善其DPI和特征识别能力。同时，针对DNS级和IP级审查的防御手段（如ECH、分布式DoH、多协议堆叠）的采用正在增加，但尚未形成对多数普通用户可及的统一解决方案。