导语:网络空间作为第五维战场,其资产存活性、服务暴露情况直接反映物理打击效果、网络攻击强度与战时管控措施。
一、引言
2026年2月28日,中东战火再起。以色列国防军发起“咆哮的狮子”军事行动,美国同步实施“史诗怒火”行动,对伊朗境内目标展开大规模空袭。伊朗随即以导弹和无人机反击,并宣布封锁霍尔木兹海峡,冲突迅速从边境摩擦升级为覆盖伊朗、以色列全境的区域性战争。
网络空间作为第五维战场,其资产存活性、服务暴露情况直接反映物理打击效果、网络攻击强度与战时管控措施。
DayDayMap 通过持续监测伊朗、以色列两国的网络空间资产,捕捉到战前战时的剧烈变化。本文基于对双方网络地址空间的存活资产数据、端口与服务分布、地理区域差异等维度,结合实时战争态势,解析冲突对网络空间的多维影响,揭示物理打击、网络攻击与主动断网策略的复合作用,从网络空间视角还原冲突的多维影响。
二、整体态势:战前战时存活资产对比
2.1 伊朗全国存活 IP 数量变化
- 战前日均存活 IPv4 数量:约 61.4 万(范围36 万 ~ 75 万)
- 战时日均存活 IPv4 数量:约 11.4 万
- 存活率:18.6%(对比战前下降81.3%)
标注:2月28日7时(UTC)左右出现断崖式下跌,与美以空袭伊朗指挥中枢的时间高度吻合,3月1日维持在低位。
数据与态势关联:NetBlocks监测显示,伊朗网络连接在袭击后降至正常水平的1%-4%,呈现全国性断网特征。DayDayMap数据进一步验证:断网并非局部故障,而是结构性事件驱动的结果。
2.2 以色列全国存活 IP 数量变化
战前日均存活 IPv4 数量:约 13.3 万
战时日均存活 IPv4 数量:约 9.8 万(下降幅度较小)
存活率:73.7%
【图2-2:以色列每日存活 IPv4 数量变化曲线】
标注:2月28日小幅波动,与伊朗导弹袭击时段对应,但未出现全国性断网。
2.3以色列全国存活 IP 数量变化
伊朗存活 IP 在军事行动开始后数小时内骤降至战前 18.6%,呈现典型“断网”特征;以色列则保持相对稳定。这种非对称变化源于多重因素:
- 物理打击:美以空袭 targeting 伊朗总统府、情报部门、革命卫队指挥中心等核心设施,可能导致电力/网络基础设施受损;
- 网络攻击:以色列发动“史上最大规模网络攻击”,瘫痪伊朗能源系统、政府网站、通信网络,IRNA、Tasnim等官方媒体遭篡改;
主动断网:伊朗当局为防范元数据泄露、切断指挥控制系统定位风险,实施战时级网络管控。
三、端口与服务分布,暴露面变化与“选择性保留”特征
3.1战前 Top 10 开放端口(伊朗 vs 以色列)
【表3-1:战前两国 Top 10 端口及服务分布】
3.2战时存活资产端口变化
伊朗:战时存活 IP 中,端口分布发生显著变化。80/443等常规 Web 服务占比下降,而 1723/2000/30005等端口(含VPN、特定工控协议、加密通信端口)占比相对上升,呈现“选择性保留”特征——即关键机构优先保障核心业务通信,牺牲民用与普通商业服务。
以色列:端口比例基本保持战前结构,无明显选择性保留,反映其网络基础设施韧性较强。
3.3主要设备类型识别
3.4主要设备类型识别
以色列网络攻击的目标高度精准——瘫痪革命卫队通信系统以阻碍其协调反击、削弱无人机与导弹发射能力。DayDayMap数据显示,与革命卫队相关的 IP 段存活率仅为7.3%,远低于全国平均,反映网络攻击与物理打击的协同效应。
四、区域视角,各省/区资产下降与战争进程的时空关联
4.1伊朗各省存活率分布
DayDayMap 探测了伊朗的19 个省,对比前几个战时存活率:
· Markazi(中央省)- 下降 95.1%,推测原因:核设施遭受重创 + 全面断网。Arak重水反应堆:位于Markazi省的Arak市,是以色列重点打击目标 。该省靠近纳坦兹核设施,Markazi省同样拥有关键核基础设施,作为核工业核心区域,战时可能率先实施最严格的网络管制。
· Ostan-e Tehran(德黑兰省)- 下降 89.4%,推测原因:首都效应 + 指挥中枢打击。作为首都,网络基础设施复杂,战时成为网络攻击和物理打击的双重焦点。
· East Azerbaijan(东阿塞拜疆省)- 下降 87.7%,推测原因:军事基地密集 + 边境战略地位。
· Khuzestan(胡齐斯坦省)- 下降 86.0%,推测原因:能源基础设施 + 南部战略走廊。
4.2 以色列分区域存活率
以色列划分为北部、中部、南部等区域,战时存活率均保持在90% 以上。但靠近加沙地带的南部区域(如内盖夫)及海法、特拉维夫等遭导弹袭击的城市出现短暂波动,可能与局部断电或民众涌入避难所导致的设备离线有关。
五、网络攻击与物理打击的协同效应,从数据看复合战场
5.1 时间维度的协同
·07:00 UTC:美以空袭伊朗指挥中枢;
·07:10 UTC:伊朗电信系统开始中断;
·08:00 UTC:全国性断网生效;
·同时段:以色列发起大规模网络攻击,瘫痪能源、政府网站、通信系统。
时间线高度重合,证明网络攻击与物理打击是精心策划的协同作战。网络攻击不仅制造混乱,更关键的是阻碍革命卫队协调反击。
5.2 目标维度的协同
物理打击 targeting 总统府、情报部、革命卫队指挥中心;网络攻击 targeting 革命卫队通信系统、能源基础设施、官方媒体。两者形成互补:物理打击摧毁核心人物与设施,网络攻击瘫痪指挥链与舆论机器。
5.3 数据维度的证据
DayDayMap 数据显示,革命卫队相关 IP 段的存活率(7.3%)远低于民用 IP 段,反映其成为复合打击的重点目标。同时,德黑兰等遭重点空袭城市的网络存活率骤降,印证物理打击对网络基础设施的破坏。
5.4 伊朗的应对
面对复合打击,伊朗采取以下措施,这些都在测绘数据中有所体现:
·主动断网:切断国际连接,防止元数据泄露,保护领导层位置安全;
·选择性保留:优先保障关键机构(革命卫队、情报部门、能源系统)的内部通信与核心业务;启用国家互联网:但该网络也遭渗透,反映防御短板。
5.5 以色列的应对
以色列网络空间保持基本稳定,反映其网络防御能力强、本土未受严重物理打击;伊朗则呈现“进攻有余、防守不足”的特征,战时暴露面急剧收缩,印证其网络基础设施的脆弱性。
六、 结论与展望
6.1 主要发现
·伊朗在冲突爆发后网络空间急剧收缩,存活 IP 下降 81%,呈现全国性“断网”与关键设施受损的双重特征;
·以色列网络空间基本稳定,仅出现局部波动,反映其网络韧性和本土未受严重物理打击;
·伊朗各省份资产下降不均,首都德黑兰及核设施、产油区所在地降幅最大,与空袭重点、军事部署高度相关;
·伊朗 IPv6 存活率略高于 IPv4,暗示关键网络可能优先保留 IPv6 连接;
·工业控制系统及关键机构系统在战时“选择性保留”,但仍有部分暴露,存在严重安全隐患;
·网络攻击与物理打击呈现高度协同,形成复合战场,伊朗革命卫队相关目标成为重点打击对象;
·伊朗在复合打击下被迫采取主动断网策略,但内部网络也遭渗透,暴露防御体系的深层短板。
6.2 对网络空间态势感知的启示
·网络测绘数据可实时反映战争对物理基础设施的打击效果,也可揭示对手的主动防御策略;
·战前暴露的工业控制系统可能成为预置攻击通道,需在和平时期加强关基防护;
·IPv6 的普及为战时网络韧性提供新变量,需纳入监测范围;
·复合战场中,网络攻击与物理打击的协同效应将成为未来冲突的常态模式;
·主动断网虽是防御手段,但也意味着放弃国际信息空间,可能影响战争舆论与外交博弈。
6.3 DayDayMap 的持续监测
战争仍在继续,DayDayMap 将持续跟踪两国网络空间变化,重点关注:
·网络恢复进程与阶段性变化;
·伊朗内部网络与国际互联网的切换动态;
·双方关键基础设施的持续暴露风险;
·冲突外溢至周边国家(伊拉克、阿联酋、卡塔尔、巴林等)的网络空间影响。
我们将持续输出数据洞察态势,也感谢各位对我们的支持。
如若转载,请注明原文地址
