تحلیل جدیدترین تغییرات GFW ایران؛ سخت‌گیرانه‌ترین دورهٔ DPI و فیلترینگ هوشمند تا امروز

2025-11-22

در دو هفتهٔ اخیر، رفتار فایروال ملی (GFW ایران) با تغییرات چشم‌گیر و نگران‌کننده‌ای همراه بوده است؛
تغییراتی که نشان می‌دهد ساختار DPI (Deep Packet Inspection) وارد یک فاز کاملاً تهاجمی، دقیق و هوشمند شده است.
مهم‌ترین تحول اخیر مربوط به نحوهٔ پردازش و واکنش DPI نسبت به اتصال‌های TCP است.

🔍 مرحلهٔ جدید بررسی SNI و تطابق آی‌پی در همان لحظهٔ آغاز اتصال

پیش از این، ارتباط TCP شامل مراحل استاندارد هندشیک و سپس انتقال داده یا keep-alive بود.
اما رفتار اخیر GFW نشان می‌دهد که DPI در همان لحظهٔ آغاز اتصال، SNI را استخراج، آن را با گواهی واقعی تطبیق و حتی آی‌پی مقصد را ریورس می‌کند
تا مطمئن شود این آی‌پی واقعاً متعلق به همان دامنه است.

هرگونه عدم تطابق در این مرحله منجر به Reset فوری TCP و قطع کامل اتصال می‌شود.
به‌صورت ساده‌تر:

  • SNI با دامنه واقعی تطابق نداشته باشد
  • IP متعلق به دامنهٔ مربوطه نباشد
  • آی‌پی در کش قدیمی وجود نداشته باشد
  • دامنه در فهرست سفید یا خاکستری نباشد

نتیجه: اتصال فوراً قطع می‌شود.

⚠️ فهرست خاکستری و مسدودسازی پس از چند پکت

اگر SNI و IP تطابق داشته باشند اما دامنه در فهرست خاکستری باشد یا همان SNI در لیست مسدود قرار گرفته باشد،
اتصال پس از چند پکت از بین می‌رود. همچنین کوچک‌ترین رفتار غیرطبیعی در TLS Handshake — مثل SNI جعلی یا افزونه‌های غیرمعمول —
باعث Reset فعال می‌شود.

فهرست خاکستری هر چندوقت یک‌بار به‌طور کامل پاک می‌شود و همین رویداد موجب می‌شود:

  • تماس‌های طولانی تلگرام
  • تونل‌های طولانی CDN-based
  • کانفیگ‌های V2Ray پایداری‌شان را از دست بدهند

این وضعیت معمولاً بین ۱۸ تا ۲۴ شب شدیدتر دیده می‌شود.

❌ مسدودسازی کامل DoH برای ارائه‌دهندگان اصلی

در این مدت، DNS-over-HTTPS برای همهٔ ارائه‌دهندگان رایج مانند:

  • Cloudflare
  • Google
  • Quad9

به‌طور کامل بسته شده است.
روش‌های قدیمی مانند قطعه‌بندی پکت‌ها (Fragmentation) نیز تقریباً بی‌اثر شده‌اند.

🛑 وضعیت پروتکل‌های UDP، QUIC و WireGuard

پروتکل‌های مبتنی بر UDP سخت‌ترین شرایط را تجربه می‌کنند.
اگر فایروال بتواند هندشیک را تشخیص دهد، پس از چند ثانیه مسیر را می‌بندد.

این محدودیت روی پروتکل‌هایی مانند:

  • QUIC
  • WireGuard
  • Warp (Cloudflare VPN)

تأثیر بسیار جدی داشته است. DPI یا اصلاً اجازهٔ شکل‌گیری هندشیک را نمی‌دهد یا الگوی رفتاری اتصال را شناسایی کرده و بلافاصله آن را متوقف می‌کند.

🌐 چرا CDNها هنوز نیمه‌فعال هستند؟

تنها نقطهٔ امید این روزها، استفاده از CDNهاست؛ زیرا هنوز مسدودسازی کامل روی آنها اعمال نشده است.
اما وابستگی کامل به این مسیر منطقی نیست؛ چرا که ممکن است بخشی از استراتژی جدید فایروال باشد:

CDNها را نیمه‌فعال نگه دار تا مسدودسازی کامل Cloudflare ساده‌تر شود؛
در حالی که جستجوی IPهای ناشناس و VPSهای نامتعارف پیچیده‌تر است.

به‌همین دلیل، تکیهٔ ۱۰۰٪ به CDN توصیه نمی‌شود.

📉 جمع‌بندی

رفتار جدید DPI و GFW، سخت‌گیرانه‌ترین و پیچیده‌ترین دورهٔ فیلترینگ هوشمند در سال‌های اخیر محسوب می‌شود:

  • Reset لحظه‌ای TCP
  • شناسایی SNI جعلی
  • پاک‌سازی دوره‌ای فهرست خاکستری
  • از کار افتادن اتصال‌های طولانی
  • مسدودسازی کامل DoH
  • اختلال شدید QUIC و WireGuard
  • قطع لحظه‌ای Warp روی IPv4 و IPv6

نتیجهٔ عملی: بسیاری از VPNها و تونل‌ها دچار اختلال جدی شده‌اند و کاربران با دشوارترین شرایط اینترنت در ماه‌های اخیر روبه‌رو هستند.

🔰 در پایان

کریومیکر همیشه در تلاش است که دسترسی کاربران خود را به پایدارترین، سریع‌ترین و امن‌ترین مسیرهای اینترنت جهانی حفظ کند.