2026-03-05 19:22:50 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 该文档详述了一项针对印度网络审查的大规模测量研究。通过对近3亿域名的测试，确认4.3万个域名被DNS过滤封锁，规模为先前六倍。研究揭示了ISP间的策略差异，如Airtel误封顶级域及MTNL封锁主流通讯工具。结果显示流行度列表代表性不足。建议开发者默认启用DoH并开发抗审查工具以应对隐形封锁。 综合评分： 95 文章分类： 网络安全,威胁情报,政策法规

cover_image

失控的印度网络封锁，不只是屏蔽

原创

SecureNexusLab SecureNexusLab

SecureNexusLab

2026年3月5日 11:57 北京

「全球第二大互联网市场，正在“看不见的地方”割裂。」

印度，14.6 亿人口，近 10 亿网民。这里拥有全球最活跃的数字经济之一，也拥有全球最复杂的网络检查体系。

这个号称“世界最大民主国家”的互联网管控，很大程度上依赖的是一上世纪 80 年代的技术——「DNS 过滤」。没有深度包检测，没有 AI 内容识别，有的只是 ISP 在 DNS 服务器里默默篡改几条 IP 记录。

后续如何呢

一项刚刚发布的大规模研究给出了答案：「2.94 亿个域名被测，17.6 亿次查询发出，43,083 个网站确认被封」——规模是此前已知研究的「六倍」。更荒谬的是，某家 ISP 因为配置错误，直接把整个 .yokohama 顶级域送进了“小黑屋”，导致无数与横滨相关的网站无辜躺枪。

这就是印度互联网的另一面：庞大、活跃，却在 DNS 层面被悄然切割。

关键发现

通过 DNS 过滤共确认 43,083 个独特的顶点域被阻断——较先前最大规模研究（记录了 6,787 个被封锁域名）增加了六倍。
某大型互联网服务提供商（ISP）对阻断规则的错误配置，导致全球顶级域名 .yokohama 出现严重过阻断，致使该域名完全无法访问。
本研究产生的屏蔽名单中，仅 9,363 个域名（21.73%）在 Tranco 名单（一个可靠、透明的顶级网站排名名单）中位列其中，这表明从流行度排名中提取的测试名单并不能准确代表审查规模。
各类服务和平台（包括商业、托管、研究和通信）均遭到强力封锁。
分析指出，国有公共部门企业（PSU）互联网服务提供商（ISP）的消费者黑名单可能源自针对政府机构的过滤策略。

对互联网自由社区的建议

依赖名称解析的工具开发者应考虑将 DNS over HTTPS（DoH）配置为默认值，无论系统区域设置如何，尤其在已知 DNS 查询被过滤的地区。
部分司法管辖区对 VPN 及云基础设施服务商实施监管，但对通用网络工具软件的使用却未设限——这类软件可能被设计为无需依赖外部网络即可绕过审查。
工具开发者及互联网自由社群成员应考虑开发并推广网络工具，这类工具可在匿名化流量或依赖外部网络基础设施的情况下实现审查规避。

01 背景

印度互联网景观

截至 2025 年 9 月，印度官方统计人口达 14.6 亿，互联网用户规模接近 10 亿。尽管市场结构多元，但该国互联网服务仍由少数几大运营商主导。五大主要互联网服务提供商（ISP）覆盖了全国约 98.51%的用户。无线宽带服务的普及率明显高于有线网络。

| 服务提供商 | 市场份额（%） | 研究覆盖范围 | | — | — | — | | 信实 Jio 信息通信有限公司 | 50.77% | Y | | Bharti Airtel 有限公司 | 31.18% | Y | | 沃达丰 Idea 有限公司 | 12.83% | N | | 印度电信有限公司 | 3.49% | N | | Atria Convergence Technologies | 0.24% | Y |

「表 1：」 截至 2025 年 9 月 30 日按市场份额排名前五的宽带（有线 + 无线）服务提供商（数据来源：印度电信监管局，2025 年 9 月电信订阅数据）。

过滤技术

审查制度的法律框架并未强制要求采用特定的流量过滤机制。互联网服务提供商（ISP）可依据自身技术能力和运营需求，自主选择并实施流量过滤机制。其直接后果是，用户根据所选 ISP 的不同，对网站封锁的感知和体验存在差异。

「表 2：」 网络审查技术

研究缺口

此前针对印度网络审查机制的研究，主要聚焦于调查和记录各地区及国家级互联网服务提供商（ISP）采用的过滤技术。这类研究最多仅测试了数千个域名，且依赖人工筛选的潜在屏蔽网站清单来分析审查行为。本研究则着重探究基于域名系统（DNS）的网络审查规模，因为这种审查手段被印度大大小小的互联网服务提供商广泛采用。

02 方法

测试列表构建

该测试清单由两个来源汇编而成：

「ICANN 的集中式区域数据服务（CZDS）平台」：使用 czds 工具访问了来自参与通用顶级域（gTLDs）的区域文件。通过 Bash 脚本从区域文件中提取所有域名，最终获得 221,494,493 个独特的顶点域。该数据源存在局限性，无法涵盖国家代码顶级域（ccTLDs）。
「Active Domains Project」：另一个来源是 2025 年 3 月的 Active Domains 列表，其中包含 13 亿个域名（包括子域名）。该列表中只包含被认为是“活跃”的域名。使用 Python 库 tldextract 提取顶点域名，得到 231,394,238 个唯一条目。

（图 1：顶点域的提取示意图）

在整合两个数据源并完成去重处理后，最终测试列表包含 294,480,735 个独特的顶点域。

ISP 选择

根据市场份额、已知的 DNS 过滤使用情况及地理多样性，共选取了 6 家互联网服务提供商（ISP）。

| ISP | ASN | 服务区域 | | — | — | — | | 信实 Jio 信息通信公司（Jio）* | AS55836 | 全国 | | Bharti Airtel（Airtel）* | AS9498 | 全国 | | 心房融合技术公司（ACT）* | AS18209 | 全国各大城市 | | 马哈纳加尔电话公司有限公司（MTNL） | AS17813 | 德里和孟买 | | 你宽带 | AS18207 | 马哈拉施特拉邦 | | Quadrant Televentures（连接宽带） | AS17917 | 旁遮普邦 |

「表 3：」 ISP 覆盖率 *这些互联网服务提供商（ISP）拥有多个 ASN。本研究仅针对上述提到的 ASN 展开分析。

测量收集

「直接连接」：为 Jio、Airtel 和 ACT 获取了新的互联网连接。在单一地点为每个 ISP 设置了配备 1Gbps 以太网端口的专用机器。
「远程测量」：针对 You Broadband、Connect Broadband 和 MTNL，识别并利用了来自其网络外部的、因配置错误而接受 DNS 查询的基础设施 DNS 解析器。从一家领先的云服务提供商租用了三台独立虚拟机以收集远程测量数据。

基础设施解析器的识别方法包括：

利用 Censys（该系统能准确标记转发和递归 DNS 解析器）和 Shodan 的数据。
通过反向主机名查询验证 DNS 解析器是否属于互联网服务提供商（ISP）的基础设施。
人工验证以避免将住宅或机构 DNS 解析器误分类为基础设施解析器。

工具

「ZDNS」：用于收集大规模 DNS 测量的开源工具和框架。ZDNS 因其性能优势和持续活跃的开发而被用于替代 massdns。
「blockbust」：创建了一个 Python 工具，它围绕 ZDNS 提供工具，帮助检测 DNS 审查。blockbust 为网络生成配置文件，包括检测到的屏蔽签名。它通过处理收集的测量数据和提取被审查的域名，简化了屏蔽列表的构建。

审查制度检测

将某个网站标记为被屏蔽的方法，需要先确定互联网服务提供商（ISP）使用的屏蔽特征。具体操作是：首先通过第三方 DNS 服务提供商（如 Quad9），对一个被广泛屏蔽的知名域名（例如 thepiratebay.org）进行查询以建立基线响应，随后使用 ISP DNS 解析器查询同一域名，其中偏差被视为 ISP 的阻断特征。

阻断性特征可表现为：

公共 IP 地址——有时位于与被审查网络相同的 AS 内，有时位于云服务提供商网络内；
私有 IP 地址或回环地址；或
NXDOMAIN 响应。

针对疑似被屏蔽的域名，通过未受审查的第三方 DNS 解析器收集了控制测量数据。针对 A 和 NS 两种 DNS 记录类型均采集了控制测量数据。

考量

本研究遵循以下原则：

「避免降低服务质量」：直接测量与远程数据采集的 QPS 率被限制在较低水平。
「使用可归因的 ISP 基础设施进行远程测量」：为避免对组织或个人用户造成潜在法律后果，仅使用可归因于 ISP 基础设施的解析器。
「处理明显非法内容」：本研究产出的输出中，已向相关主管部门报告了被认为包含明显非法内容（如 CSAM）的域名，并在公开数据中进行了充分遮蔽。

03 结果

测量尺度

总共发送了 1,766,884,527（17.6 亿）次 DNS 查询。

「查询结果」：

1,544,458,209（87.41%）返回无错误
60,503,716（3.42%）返回 NXDOMAIN
34,960,932（1.98%）返回 SERVFAIL
3,661,598（0.21%）返回拒绝
123,300,072（6.98%）因其他原因失败（例如超时）

至少有一个成功测量的唯一域（无错误 + NXDOMAIN）的数量为 286,087,337。至少有一个无错误响应的唯一域的数量为 281,045,732。

ISP 封锁域名统计

| ISP | 被封锁的域名数目 | | — | — | | Jio | 15,245 | | Airtel | 27,649 | | ACT | 14,173 | | MTNL | 20,085 | | You Broadband | 14,052（已剔除 3 个假阳性） | | Connect Broadband | 9,414 | | 「总计（去重）」 | 「43,083」 |

「表 4：」 按 ISP 划分的被封锁域名数量

封堵签名

「表 5：」 ISP 屏蔽特征

DNS 过滤的实现研究

「DNS 注入攻击」：在 Jio、Airtel 和 ACT 三家公司中，只有 ACT 实施了 DNS 响应注入攻击。该攻击通过向已知非 DNS 解析服务器的 IP 地址查询被屏蔽域名集合来识别。在此场景下，任何响应均表明存在 DNS 注入攻击。

（图 2：常规 DNS 查询简化版示意图）（图 3：DNS 注入简化版示意图）

在 ACT 审查的 14,173 个域名中，12,560 个（88.6%）域名持续存在注入行为。未发生注入的 1,613 个域名虽未呈现显著规律或特定 TLD，但仍需进一步研究。

「绕过注入」：通过与非标准端口上运行的名称服务器通信，可以绕过 ACT 执行的 DNS 响应注入。在端口 53 上查询 Quad9 DNS 服务器（9.9.9.9）会触发注入，而在端口 9953 上查询同一服务器则不会。

「审查过期域名」：通过二次测量收集研究发现，所有 ISP 继续审查其黑名单中的域名，即使底层域名已不存在（即域名注册过期）。此现象应进一步调查。

「DNSSEC 的实施情况」：Jio、Airtel、ACT 和 Connect Broadband 至少部分实施了 DNSSEC，而 MTNL 和 You Broadband 则没有。在收集的测量数据中，DNSSEC 相关 SERVFAIL 响应的影响在限制部分进行了探讨。

| ISP | SERVFAIL | DNSSEC | | — | — | — | | Jio | 6,128,852 | Y | | Airtel | 4,878,299 | Y | | ACT | 9,521,575 | Y | | MTNL | 5,893,039 | N | | You Broadband | 1,578,121 | N | | Connect Broadband | 6,961,046 | Y |

「表 6：」 SERVFAIL 响应和 DNSSEC 状态

APNIC 关于印度 ASNs DNSSEC 验证的数据，证实了研究中关于上述 ISPs 实施 DNSSEC 的观察结果。

「解析器配置异常」：Connect Broadband 和 You Broadband 的 DNS 解析器有时会主动提供额外数据，即便用户未明确请求。这种配置异常使得能够观测到某些成功查询域名的配置名称服务器。虽然这并非本次分析的重点，但这些额外数据有助于分析权威名称服务器的阻塞情况。

「假阳性」：为 You Broadband 生成的屏蔽列表中存在三个假阳性域名：nirma.com、youbroadband.in 和 youwifi.in。控制测量显示，这些域名的名称服务器与 You Broadband 的识别阻塞签名一致。这些域名已从黑名单中移除。

域分类

领域分类采用混合方法进行。基于搜索引擎元描述的手动分类，辅以网络安全和广告拦截工具维护的开源类别特定列表，以及机器学习辅助分类。机器学习方法采用模型集成。该分类基于公民实验室（Citizen Lab）测试列表分类法的修订版本。完整分类体系详见附录。

（图 4：编译的黑名单中前 15 个域名类别示意图）

阻断跨类别共识

为分析共识情况，将黑名单过滤至仅包含所有六家互联网服务提供商（ISP）均成功检测的域名。对 32,451 个域名（占 43,083 个域名黑名单的 75.32%）的分析显示，封锁共识存在显著差异。

| 分类 | 过滤后的封锁名单百分比 | 通用阻塞率 | | — | — | — | | MOV（电影和电视盗版） | 16,752（51.6%） | 4.54% | | PORN（色情） | 2,071（6.38%） | 0.53% | | FILE（文件共享） | 1,795（5.53%） | 8.86% | | GMB（赌博） | 1,269（3.91%） | 13.48% | | MILX（恐怖主义和武装分子） | 171（0.53%） | 38.60% |

「表 7：」 过滤后黑名单中五个类别的阻塞共识

MOV 域名在过滤黑名单中占比最高，达 51.62%，但普遍封锁率极低（4.54%）。相比之下，MILX 类别虽仅占 0.53%，却获得最高共识，所有六家 ISP 均封锁了 38.60%的域名。GMB 类域名显示出中等程度的普遍屏蔽共识（13.48%），而 PORN 类域名虽占过滤屏蔽列表的 6.38%，却仅有 0.53%的普遍屏蔽率——这表明各互联网服务提供商对色情内容的处理存在显著差异。

被封锁域名的流行度

Tranco 是一个可靠且透明的顶级网站排名列表。完整 Tranco 列表（生成于 2025 年 3 月 6 日）被用于扩充编译的黑名单。在编译的黑名单中，仅有 9,363 个（21.73%）域名在 Tranco 列表中排名。

04 分析

Jio 对抖音封禁令的解读

2020 年 6 月 29 日，印度信息技术部宣布封禁 59 款“危害印度主权和领土完整”的应用程序，其中包括抖音，该应用已从应用商店下架。抖音还使其位于印度的用户无法访问其服务。

Jio 不仅封锁了主要的抖音域名 tiktok.com，还封锁了抖音 CDN 域名（tiktokcdn.com，Tranco 排名#28）以及视频服务域名（tiktokv.com，Tranco 排名#67）。这表明其封锁范围比其他互联网服务提供商更为广泛。

虽然发送给互联网服务提供商的屏蔽命令无法公开获取，但仅 Jio 屏蔽抖音基础设施域名这一事实可能暗示：

Jio 对阻断令的解释更为宽泛；或
该命令虽指定了这些域名，但其他 ISP 要么不合规，要么采用其他手段屏蔽这些域名。

此外，Jio 是唯一一家实施封锁的 ISP：

uol.com.br（Tranco 排名#496）——巴西最大的内容与科技公司
umeng.com（Tranco 排名#956）——一家中国移动数据分析公司

有线宽带对文档和研究共享网站的屏蔽

You Broadband 独树一帜地屏蔽了三大主流文档共享服务：

| 领域 | Tranco 秩 | | — | — | | slideshare.net | #317 | | scribd.com | #486 | | academia.edu | #842 |

「表 8：」 三大文档和研究共享服务被 You Broadband 独家屏蔽

这三个平台都允许用户上传和共享文档。Academia.edu 专注于学术研究论文，Scribd 用于一般文档共享，SlideShare 则专注于演示文稿。

Airtel 封锁整个 gTLD

Airtel 是封锁域名数量最多的 ISP。它封锁了整个 .yokohama gTLD，分析指出这极有可能是由于配置错误造成的。通过查询 gTLD 内不存在的域名，二次验证了这一封锁规则。

| 领域 | 描述 | | — | — | | dailymotion.net | 视频分享平台，Tranco 排名#347 | | is.gd | 网址缩短服务，Tranco 排名#3485 |

「表 9：」 Airtel 完全屏蔽的域名示例

2012 年，有报道称 Airtel 首次屏蔽了 DailyMotion，原因是法院下令侵犯版权。政府于 2015 年再次下令屏蔽该网站，但不久后又撤销了这一决定。目前尚不清楚 is.gd 网站首次被屏蔽的时间。

MTNL 对流行服务的封锁

MTNL 封锁了多个类别的流行域名。

「表 10：」 MTNL 独家屏蔽的通讯与消息平台

「表 11：」 仅由 MTNL 屏蔽的基础设施服务

| 领域 | 描述 | | — | — | | dropboxapi.com | Dropbox API，Tranco 排名#1229 | | mega.co.nz | 文件存储平台，Tranco 排名#464 |

「表 12：」 MTNL 独家屏蔽的文件共享服务

「表 13：」 其他仅由 MTNL 屏蔽的显著服务

「数字模式的阻断」：MTNL 能唯一阻断以数字模式“1004”开头的一组域名。未收集补充测量数据以验证这些阻断是否由配置错误的正则表达式阻断规则引起。

「表 14：」 采用‘1004’模式被 MTNL 阻断的域示例

是故意为之，还是由于对以“xn--”开头的域名（非拉丁字母在 ASCII 兼容编码中采用 Punycode 表示）的正则表达式规则配置错误所致——由于未收集补充数据，这一点尚不明确。需要特别说明的是，MTNL 并非无差别地屏蔽所有使用非拉丁字母的 IDN 域名，也并非屏蔽所有带有“xn--”前缀的域名。

「表 15：」 韩语（韩文）中被 MTNL 屏蔽的域名示例

「MTNL 的随意屏蔽行为」：除了作为新德里和孟买等城市的消费者互联网服务提供商外，MTNL 还被广泛应用于政府部门、机构及其他政府项目中。2025 年 6 月，印度电信部（DoT）呼吁各邦政府选择 MTNL 和另一家国有公共部门企业 BSNL 作为网络服务提供商，理由是私营服务商存在安全隐患。考虑到可能存在的任意过度封锁，分析指出 MTNL 的消费者黑名单中包含的域名本应仅限于政府机构使用。

多家互联网服务提供商封锁域名注册商

这些封锁可能与德里高等法院的观察有关，即域名注册商没有遵守司法命令。“我们无法改变国际体系，但如果你在印度运营，我们会要求你遵守某些（规范）。如果你们不遵守，我们会告诉 MEITY 封锁 DNR。”

「表 16：」 ISP 屏蔽的域名注册商示例

尽管有解除封锁的命令，但 ACT 仍继续封锁 VideoLAN

MEITY 于 2022 年下令解除了 VLC 媒体播放器背后的组织 VideoLAN 的域名封锁。尽管有官方解除封锁的命令，但截至本研究，ACT 仍继续封锁 videolan.org 域名。

政府域名的封锁

MEITY 国家信息中心（NIC）负责监管 nic.in 和 gov.in 域名区域。尽管如此，在汇编的黑名单中发现了两个 gov.in 域名。

| 领域 | 描述 | 被封锁 | | — | — | — | | mes.gov.in | 印度陆军工程兵团军事工程服务局网站（当前域名） | You Broadband | | rera-punjab.gov.in | 旁遮普邦房地产监管局网站（曾使用的域名） | Connect Broadband |

「表 17：」 gov.in 区域的被封锁域名

匿名化工具封锁

在匿名化与规避（ANON）类别中，多个互联网服务提供商（ISP）均封锁了相关域名。

「MTNL」专门封锁了至少两家主流 VPN 服务的域名，包括 Surfshark（surfshark.com，Tranco 排名#1048）和 AdGuard VPN（adguard-vpn.online，Tranco 排名#1601）。
「You Broadband」则专门封锁了 Urban VPN（urban-vpn.com，Tranco 排名#4279）和 VPN Gate（vpngate.net，Tranco 排名#46554）的服务域名。
「Airtel」屏蔽了 UltraVPN（ultravpn.com，Tranco 排名#194201）。

媒体域名封锁事件

亚洲新闻国际（aninews.in，Tranco 排名#27923）——印度最大的新闻专线服务，其域名被 You Broadband 独家封锁。
位于印度斯利那加的独立新闻评论网站《克什米尔之声》（thekashmirwalla.com，Tranco 排名#1280750）的域名则遭到本研究中所有六家互联网服务提供商的封锁（MEITY 于 2023 年下令封锁该域名）。

05 对比

| 研究（年份） | 已阻止的域 | 备注 | | — | — | — | | Yadav 等人（2018） | N/A | 单个 ISP（沃达丰）通过 HTTP 过滤最多可访问 483 个站点 | | Singh 等人（2020） | 4,033 | 当时已知的最大语料库 | | Katira 等人（2023） | 6,787 | 71 个 AS | | 「本研究（2026）」 | 「43,083」 | 仅 DNS 过滤；黑名单规模扩大六倍 |

「表 18：」 与以往印度特定审查制度研究的比较

06 局限性

测量中断

由于公用事业和互联网服务中断以及技术错误，测量收集过程面临多次中断。除了 MTNL，所有 ISP 在测量收集过程中都面临中断。在恢复测量时，少量存在于 ZDNS 程序内存中但未被查询的域名被遗漏。

测试列表限制

「.ru TLD 域名」：Active Domains 列表中没有 .ru 域名。根据 cctld.ru，在测量收集时，“活跃”的 .ru 域名数量为 5,836,058。 .ru ccTLD 在 SURBL 进行数据采集时，位列“最常被滥用”顶级域（TLD）榜单第八名。
「子域阻断」：为使测量数据采集可行，测试列表中已剔除子域。未采集补充测量数据以测试子域阻断条件，因此无法观察到被阻断的子域。

时间限制

「时间点研究」：本研究作为一项时间点研究，不回答需要持续测量审查制度的问题。
「同步性」：由于技术限制，跨互联网服务提供商（ISP）的测量数据采集工作未能同步启动与完成。

| ISP | 测量开始 | 测量结束 | | — | — | — | | Jio | 2025 年 7 月 | 2025 年 7 月 | | Airtel | 2025 年 7 月 | 2025 年 7 月 | | ACT | 2025 年 8 月 | 2025 年 8 月 | | MTNL | 2025 年 8 月 | 2025 年 8 月 | | You Broadband | 2025 年 8 月 | 2025 年 9 月 | | Connect Broadband | 2025 年 9 月 | 2025 年 9 月 |

「表 19：」 测量数据收集时间线

You Broadband 的测量周期延长是由于服务质量与技术问题所致。

分类的局限性

网站分类本质上具有主观性。因此，所采用的分类过程仅为尽力而为。最终编制的黑名单可能包含类别重叠及潜在的误分类情况。

「启示：」

研究发现，通过非标准端口（如 9953）发送 DNS 查询，可以绕过 ACT 的 DNS 注入审查。这警示我们：「审查从来不是无懈可击，技术的开放性永远为规避留有一扇窗。」 这也解释了为报告为什么建议开发者默认启用 DNS over HTTPS（DoH），以及互联网自由社区需要持续开发并且不依赖外部网络的规避工具。

Reference

阅读全文: https://dnsblocks.in

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：SecureNexusLab SecureNexusLab SecureNexusLab《失控的印度网络封锁，不只是屏蔽》