自二零二六年二月底以来,伊朗遭受全球范围内持续时间最长的国家级互联网封锁之一。在这场数字黑暗中,一批地下技术人员与海外伊朗人协作,通过走私 SpaceX 的 Starlink 卫星互联网终端,在伊朗境内构建起独立的网络骨干。这一技术实现路径涉及终端硬件部署、本地网状组网以及与全球互联网的安全隧道连接,形成了区别于传统 VPN 代理的全新 censorship bypass 范式。
终端获取与边境走私技术
Starlink 地面终端(即用户终端,User Terminal)是整个地下网络的核心硬件。根据 BBC 报道,人权组织 Witness 估计截至二零二六年一月,伊朗境内已存在至少五万台 Starlink 终端,而实际数量很可能继续攀升。这些终端通过复杂的情报网络从境外走私进入伊朗,典型的操作模式涉及在邻国(如伊拉克、土耳其、阿联酋)设立中转点,将终端拆卸后分散运输以降低被查获风险。
从技术角度来看,Starlink 终端的核心组件包括相位阵列天线、Wi-Fi 路由器和电源适配器。单台终端的物理尺寸约为五十厘米见方,重量约十公斤,这在地面运输中属于可隐匿的电子产品。走私网络通常将天线与路由器分离,天线本体可装入普通行李箱或货物包装中,而路由器体积更小,更易分散运输。根据伊朗二零二五年通过的立法,持有超过十台终端可面临最高十年监禁,这意味着一旦被查获将面临极其严重的法律后果。
终端的激活需要 SpaceX 提供的服务账户,但在伊朗境内直接使用官方服务存在暴露风险。实际操作中,走私网络通常在境外预先注册账户,或利用境外伊朗人提供的账户信息。值得注意的是,SpaceX 官方并未在伊朗提供商业服务,但这并不妨碍终端通过技术手段接入全球卫星网络。终端只要在卫星覆盖范围内即可自动搜索并连接 Starlink 卫星集群,而卫星覆盖范围涵盖伊朗全境。
本地网状网络架构设计
走私进入伊朗的 Starlink 终端并不仅仅是点对点的互联网接入设备,在实际部署中,它们被构建成分布式网状网络(Mesh Network)的骨干节点。这种设计的核心逻辑在于:单一终端的覆盖范围有限,但通过多台终端的协同组网,可以在更大区域内提供持续可用的互联网接入服务。
典型的部署方案采用星型与网状混合拓扑。在每一处部署地点,Starlink 终端作为上行链路(Uplink)连接到卫星,同时通过以太网或 Wi-Fi 向周边用户分发网络信号。在更大范围内,多台 Starlink 终端之间通过 Mesh 协议(如 802.11s 或 BATMAN-adv)建立对等连接,形成自愈式网络。当某一台终端被当局发现并销毁时,周边终端可以自动重新路由流量,确保整体网络不被彻底切断。
根据实际运营者的描述,单台 Starlink 终端可同时支持约五至十名用户进行基本互联网访问。这一数字取决于并发流量类型:若仅用于即时通讯和文字信息推送,终端可支持更多用户;若需要进行视频传输或大文件下载,则需要部署更多终端进行负载分担。运营者通常会将终端优先部署在人口密集的居民区、大学校园和商业中心,以确保最大覆盖效果。
在网络安全层面,运营者建议终端用户在使用 Starlink 连接时叠加 VPN 工具,以进一步混淆流量特征。这一层防护措施的目的是降低终端信号被政府监控设备识别的风险。Starlink 本身的信号特征已经相对难以检测(相较于传统卫星通信),但在大规模部署场景下,异常的无线电信号密度仍可能引发关注。
与全球互联网的安全隧道
Starlink 终端为伊朗用户提供的价值在于直接接入不受伊朗政府控制的全球互联网基础设施。然而,这并不意味着终端用户可以直接访问所有境外网站和服务 —— 伊朗政府有能力在国家级互联网网关层面对跨境流量进行深度包检测(Deep Packet Inspection, DPI)。因此,运营网络需要额外的隧道技术来保护用户流量。
当前地下网络采用的主流方案是结合 Starlink 上行链路与加密隧道协议。常见的协议选择包括 WireGuard、OpenVPN 或 Shadowsocks 等。WireGuard 因其轻量级和高性能特性,在资源受限的部署环境中更具优势。隧道的另一端通常托管在伊朗境外的云服务器(如 AWS、Google Cloud 或阿联酋的独立服务器)上,这些服务器充当代理中继,将用户请求转发至目标互联网服务。
这种架构的技术优势在于:即使伊朗政府识别到某台 Starlink 终端的流量,也只能观察到加密的隧道流量,而无法直接获知用户访问的具体内容。更进一步,一些运营者采用多跳路由(Multi-hop Routing)策略,即在境外设置多层代理服务器,进一步增加追踪难度。
从网络性能角度分析,Starlink 在伊朗的实际带宽表现取决于卫星仰角、用户密度和当地天气条件。SpaceX 官方宣传的下载速度最高可达数百兆比特每秒,但在实际伊朗部署场景下,由于终端数量激增导致的共享带宽稀释,单用户实际体验速度通常在十至五十兆比特每秒区间,足以支持高清视频播放和视频会议需求。
风险控制与运营参数
运营这种地下网络涉及多重风险,需要在技术层面和操作层面采取充分的缓释措施。
在物理安全方面,终端的最佳部署位置应选择具有良好卫星仰角的地点,同时尽量规避政府监控摄像头的覆盖范围。运营者通常建议将天线安装在建筑物屋顶或高层窗户旁,确保天线正面朝向天空且无大型遮挡物。在一些案例中,终端被放置在移动车辆上,以便在风险加剧时快速转移。
在网络冗余方面,成熟的运营网络会部署多台终端形成备份链路。当主用终端出现故障或被查获时,备用终端可在数分钟内接管流量。关键节点通常配置双上行链路,分别连接不同轨道的 Starlink 卫星,以降低单点失效概率。
在账户安全方面,运营网络普遍采用账户轮换机制:每台终端绑定特定账户,在检测到异常活动(如政府询问或 SpaceX 主动停用)时立即切换至备用账户。这一机制需要运营者维护相当数量的可用账户池,通常由境外志愿者协助管理。
根据人权组织统计,伊朗境内因持有 Starlink 终端而被逮捕的人数已超过一百人。这意味着在技术部署之外,运营网络必须建立完善的成员安全培训机制,包括如何识别政府监控人员的接近、如何快速销毁终端硬件、以及如何在被捕时保护其他网络成员的信息。
资料来源
本文事实依据主要来源于 BBC 于二零二六年五月二日发布的深度报道《Smuggling Starlink tech into Iran to beat the internet blackout》,该报道直接采访了三名参与终端走私的伊朗人以及多个人权组织。终端技术参数参考 SpaceX 官方公开文档及 Starlink 用户社区实测数据。