断网亦难防！伊朗指控美国借后门瘫痪核心网络设备，全球供应链安全拉响红色警报|互联网|伊朗|断网|网络安全|网络攻击|网络设备|美国|通信

2026年4月21日，全球网络安全领域惊现重磅消息：据英国科技媒体《The Register》独家披露，伊朗官方媒体公开指控，美国在近期冲突中，借助预埋于网络设备中的后门程序及设备级僵尸网络，直接瘫痪伊朗境内大量核心网络通信设备——即便伊朗已切断全国与全球互联网的连接长达52天，仍未能阻挡这场精准的网络打击。

该事件彻底打破了“物理断网=绝对安全”的传统网络防御认知，将全球网络设备供应链的底层安全隐患赤裸裸地呈现在世人面前。一场围绕网络安全、供应链自主与国家主权的舆论及技术博弈，正式席卷全球。

一、事件始末：伊朗断网52天，核心网络设备仍遭“精准斩首”

冲突背景下，伊朗为抵御外部网络攻击、防范关键信息泄露，早已启动全国级互联网封锁。据全球网络中断监测机构NetBlocks的实时数据显示，截至2026年4月21日，伊朗的互联网封锁已持续52天，国内绝大多数民用网络与全球互联网完全隔离，仅保留极小范围的内部通信网络，堪称一座“数字孤岛”。

按照传统网络防御逻辑，切断外网连接后，外部网络攻击根本无法触达境内设备，伊朗的网络基础设施理应处于安全状态。但现实却给了全球安全行业一记重击——伊朗境内大量网络设备出现无预警重启、强制断连、系统崩溃等异常现象，直接导致政府、金融、通信等关键领域的网络服务大面积中断，社会运转受到严重影响。

伊朗媒体经调查后直指，此次设备瘫痪并非偶然故障，而是美国发起的定向网络攻击，且攻击目标高度集中在几大国际网络设备厂商的产品上，如：

思科（Cisco）：全球网络设备龙头企业，其路由器、交换机产品的市场占有率常年位居全球首位；瞻博网络（Juniper）：美国核心网络设备厂商，专注于高端运营商及政企市场，产品广泛应用于关键基础设施；MikroTik：拉脱维亚网络设备厂商，宣称产品研发全流程在欧盟境内完成，主打中小企业及民用网络市场……

令人不寒而栗的是，这些设备在伊朗断网后仍能被远程操控，这意味着攻击根本不依赖互联网通道，而是源于设备出厂或运行阶段就已预埋的“定时炸弹”。伊朗方面直言：“只有设备本身存在无法被外界察觉的后门，才能在完全断网的情况下，被远程触发瘫痪。”

截至目前，美国官方未对伊朗的指控作出正面回应，但这一事件绝非空穴来风——美国早已具备针对他国关键基础设施发起网络攻击的成熟能力，且有明确的历史前科可循。

二、伊朗两大核心指控：固件后门+僵尸网络，断网也无法防御

伊朗媒体结合技术分析，提出了两种最具可行性的攻击路径，均直指美国对全球网络设备的深度渗透。这两种方式也成为此次事件的核心争议点，彻底颠覆了大众对网络攻击的传统认知。

（一）指控一：固件/引导程序底层后门，卫星信号即可触发

伊朗技术团队推测，此次攻击的核心手段，是美国在上述四大厂商设备的固件（Firmware）或引导程序（Bootloader）中预埋了隐藏后门。

固件是网络设备的“底层灵魂”，相当于设备的“BIOS系统”，直接控制硬件的启动、运行、通信等核心功能，权限远高于普通操作系统；而引导程序则是设备开机后首个运行的程序，负责初始化硬件、加载系统，是设备安全的“第一道关卡”。

伊朗方面指出，这种后门具备三大致命特征：

1) 极致隐蔽性：后门代码被深度植入固件底层，无明显特征码，常规安全检测、病毒查杀手段根本无法发现，即便恢复出厂设置也无法将其清除；

2) 断网可触发：无需依赖互联网连接，可通过卫星信号远程激活，或预设触发时间，在指定时刻自动执行瘫痪指令；

3) 权限绝对化：后门拥有设备最高管理权限，可直接指令设备重启、断连、格式化存储，使设备瞬间沦为“废铁”。

这一推测并非危言耸听。网络安全行业早已证实，固件层面的后门是最难防御的攻击手段——95%的物联网与网络设备攻击，均始于固件层。究其原因，在于厂商往往忽视固件安全，未对固件进行数字签名、完整性校验等防护措施，给攻击者留下了可乘之机。一旦固件被植入后门，设备便会彻底沦为攻击者的“傀儡”，无论是否联网，都难逃被操控的命运。

（二）指控二：设备级僵尸网络，跨境厂商产品集体沦陷

除固件后门外，伊朗还提出了第二种攻击可能：美国早已在全球范围内，利用上述四大厂商的设备组建了专属僵尸网络（Botnet）。

与传统僵尸网络依赖互联网感染不同，这种设备级僵尸网络的恶意程序，在设备生产、运输、部署阶段便已被植入，无需用户主动下载病毒，也无需联网即可完成感染。只要设备通电运行，恶意程序便会潜伏于系统中，静待攻击指令的下达。

更值得警惕的是，此次被波及的MikroTik并非美国厂商，而是一家拉脱维亚企业，且明确宣称其产品研发全流程在欧盟境内完成。这一现象意味着，即便是欧盟境内的网络设备厂商，也无法摆脱美国的技术渗透，全球网络设备供应链早已被美国的网络战力量深度渗透，所谓“第三方厂商安全”，不过是自欺欺人的假象。

伊朗方面表示，无论是固件后门还是设备级僵尸网络，其核心逻辑始终一致：美国可随意操控全球范围内使用美系及关联厂商设备的国家网络，即便对方采取断网措施，也无济于事。

三、历史前科实锤：美国网络战早已磨刀霍霍，“午夜铁锤”行动早有先例

伊朗的指控之所以能获得全球广泛关注与部分认同，核心原因在于美国早已公开承认具备针对他国的网络攻击能力，且在2025年便已对伊朗发起过代号为“午夜铁锤”（Operation Midnight Hammer）的联合军事与网络行动。

2025年6月21日，美国发动“午夜铁锤”行动，针对伊朗福尔多、纳坦兹、伊斯法罕三处核设施发起精准打击。美军参谋长联席会议主席丹·凯恩公开证实，美国网络司令部（US Cyber Command）全程参与此次行动，只是未透露具体的网络攻击手段。美国总统特朗普后续也证实，该行动彻底摧毁了伊朗的核设施相关设施，并称从被炸设施中提取浓缩铀是“漫长且艰难”的过程。

从公开信息来看，此次行动动用了125架军机、7架B-2隐形轰炸机、24枚战斧巡航导弹，创下美军史上最大规模的B-2轰炸机出战纪录（人民网报道）。但军事与网络安全专家普遍认为，空袭只是“明面手段”，网络攻击才是“隐形杀招”——美国网络司令部大概率提前瘫痪了伊朗的防空雷达、通信系统、核设施控制系统，才使得空袭行动顺利完成，未遭遇任何有效火力拦截。

此外，美国在介入委内瑞拉事务后，总统特朗普与丹·凯恩均公开提及，网络行动已成为美国海外军事行动的核心组成部分，主要用于破坏敌方指挥系统、通信网络及关键基础设施。这意味着，针对他国发起网络攻击，早已成为美国的“常规操作”，而非临时起意的行动。

斯诺登早在2013年曝光的“棱镜门”事件，更是直接实锤了美国在网络设备中预埋后门的恶行。斯诺登披露的机密文件显示，美国国家安全局（NSA）长期在思科、瞻博等美国厂商的设备中植入后门，甚至会在设备运输途中拦截产品，植入恶意程序后重新封装交付给客户。NSA下属的“特定入侵行动办公室（TAO）”，更是专门负责利用这些后门，对全球各国发起网络监听与攻击。

从“棱镜门”到“午夜铁锤”行动，再到此次伊朗核心网络设备瘫痪事件，一条清晰的证据链已然形成：美国已将全球网络设备供应链打造成自身的网络战武器库，凭借技术霸权，随意操控他国网络安全局势。

四、技术深剖：为什么断网挡不住固件后门？三大核心原因

很多人都会产生疑惑：伊朗已切断全国互联网，为何仍无法阻挡这场网络攻击？答案藏在固件后门的核心技术特性中，这也是此次事件给全球网络安全行业上的最深刻一课。

（一）断网防御的本质误区：边界防御≠底层安全

传统网络防御的核心逻辑是“边界防护”——通过防火墙、入侵检测系统、断网等手段，阻挡外部网络流量进入内网。但这种防御方式仅针对基于互联网的攻击，对底层固件后门完全无效。

固件后门被植入于设备硬件与底层软件之中，不依赖网络通信，无需连接外网即可接收触发指令。它可通过卫星信号、预设时间、硬件触发等多种方式被激活，相当于设备自带的“自毁程序”。伊朗的断网操作，仅能切断互联网通道，却无法消除设备出厂时就已埋下的安全隐患，这正是“物理隔离失效”的核心原因。

（二）固件安全的全球盲区：90%厂商未做底层防护

网络安全行业相关数据显示，全球超过90%的网络设备厂商，均忽视了固件安全防护。为降低研发成本、简化生产流程，厂商普遍存在三大安全漏洞：

1) 固件未进行数字签名，攻击者可随意篡改代码；

2) 保留调试接口，且未在量产版本中禁用，给攻击者留下可乘之机；

3) 固件更新过程缺乏完整性校验，易被攻击者劫持并植入恶意程序。

这些漏洞使得美国等具备顶级网络战能力的国家，能够轻易在设备中植入后门。而普通用户、政企机构往往缺乏检测固件底层恶意代码的技术能力，只能被动接受“设备被操控”的命运。

（三）供应链攻击的不可逆性：一次植入，终身受控

固件后门属于典型的供应链攻击，其攻击行为发生在设备生产、运输、部署的上游环节，而非用户使用阶段。一旦后门被植入，便会伴随设备的整个生命周期——即便对设备进行重启、刷机、恢复出厂设置等操作，也无法清除底层的恶意代码。

这意味着，只要一个国家的关键基础设施依赖境外厂商的网络设备，就相当于将网络安全的“命门”拱手交给了设备生产国。美国正是利用这一特点，将全球网络设备变成了自己的“网络战棋子”，随时可对目标国家发起隐蔽攻击。

五、MikroTik沦陷的警示：欧盟厂商也不安全，全球化供应链的致命缺陷

此次事件中，拉脱维亚厂商MikroTik被卷入其中，成为最具颠覆性的信号——即便是非美国、欧盟研发的网络设备，也无法摆脱美国的技术渗透，全球化供应链的安全缺陷被彻底撕开。

MikroTik长期主打“欧盟研发、安全可靠”的品牌定位，宣称产品研发、生产全流程在欧盟境内完成，不受美国管控。但伊朗的遭遇充分证明，美国的网络战力量早已渗透至全球供应链的各个环节，无论厂商来自哪个国家，只要其产品使用美国的核心技术、芯片或软件，就有可能被植入后门。

这一现象给全球各国敲响了警钟：

1) 过度依赖全球化供应链，等同于将关键基础设施的安全主动权拱手让人；

2) 所谓“第三方厂商中立”，在国家网络战的绝对力量面前毫无意义；

3) 网络设备的安全与否，不能仅看品牌归属，更要看其核心技术是否实现自主可控。

对于中小国家而言，这一信号尤为致命——它们既缺乏自主研发网络设备的技术能力，也没有检测境外设备后门的手段，只能在大国网络战中沦为“牺牲品”。

六、伊朗的数字困局：封闭网络的假象，白卡与Pro互联网的双重标准

在核心网络设备被攻击的同时，伊朗推行的“封闭网络”政策也暴露出巨大的漏洞与不公。NetBlocks监测数据显示，伊朗并非完全断网，而是构建了一套双层网络体系，普通民众与特权阶层享受着截然不同的网络权限，这一体系本质上是伊朗当局推进“军营互联网”建设的重要组成部分。

（一）Internet Pro：少数人的“全球网络特权”

伊朗政府推出名为“Internet Pro”的专属服务，仅面向少数企业与机构开放，允许其接入全球互联网的部分服务。该服务门槛极高、收费昂贵，需提供营业执照及严格的身份验证，初始用户仅500人，本质上是政府严格管控下的“定向网络通道”。

（二）White SIMs：特权阶层的“无限制网络”

伊朗活动人士曝光，政府向部分官员、亲信发放“白卡（White SIMs）”，持卡人可不受任何网络过滤限制，无阻碍访问全球互联网。当普通民众被完全切断外网连接时，伊朗官员却能自由使用推特、Telegram等境外平台，形成了赤裸裸的网络特权阶层。事实上，“白卡”体系早在2013年便已悄然推行，主要为政权内部人士提供特权网络服务。

这种“双层网络”体系，看似是战时网络管控措施，实则暴露了伊朗的网络安全困局：极端断网无法真正保障网络安全，反而会放大核心设备的安全隐患；封闭网络无法实现社会公平，反而滋生特权阶层。

更具讽刺意味的是，即便伊朗构建了如此严格的封闭网络体系，依然无法阻挡美国利用设备后门发起的攻击。这一事实深刻证明，封闭并非网络安全的解药，核心技术自主可控才是守护网络安全的根本之道。此外，伊朗的断网政策已造成巨大经济损失，据NetBlocks估算，断网每天给伊朗带来的损失高达3700多万美元，大量依赖数字平台谋生的民众受到严重影响。

七、全球安全启示：关键基础设施，必须实现供应链自主可控

伊朗网络设备瘫痪事件如同一面镜子，照出了全球网络安全的残酷现实，也给所有国家、政企机构提出了不可回避的安全命题：如何有效抵御基于供应链的底层后门攻击？

结合此次事件，我们总结出以下要点：

（一）核心网络设备：实现100%自主可控

彻底放弃对境外厂商的依赖，自主研发路由器、交换机、防火墙等核心网络设备，从芯片、固件到操作系统，实现全流程自主研发，从根源上杜绝后门植入的可能。这是保障关键基础设施网络安全的唯一底线。

（二）固件安全：建立强制审计与检测机制

针对所有投入使用的网络设备，开展固件底层安全审计，全面检测是否存在隐藏后门、恶意代码；强制要求设备厂商对固件进行数字签名，禁止未签名固件进行更新；禁用设备量产版本中的调试接口，彻底消除底层安全漏洞。

（三）网络防御：从边界防护转向底层防护

彻底摒弃“断网=安全”的错误认知，构建“硬件-固件-系统-应用”全层级防御体系，重点加强底层硬件与固件的安全防护，提升对供应链攻击的检测、预警与响应能力。

（四）国际规则：反对网络霸权，构建公平秩序

全球各国应携手合作，坚决反对美国利用技术霸权发动网络攻击、预埋后门的行为，共同推动制定公平合理的全球网络空间治理规则，禁止将网络设备武器化，切实保障各国网络主权与网络安全。

八、结语：网络空间无净土，霸权之下唯有自立自强