Việt Nam và Trung Quốc siết mạnh tay khiến nhiều người trong nước khó đọc bài tin Hải Ngoại
 

VN đang siết chặn mạnh tay hơn (DNS “đầu độc”, chặn theo SNI/TLS, chặn IP, thậm chí “throttle” theo thời điểm/ISP). Việt Nam đã trực tiếp chặn một số dịch vụ lớn trong năm nay (ví dụ Telegram bị chặn từ cuối 5/2025 vì không tuân thủ yêu cầu dữ liệu).

Tháng 9/2025 có rò rỉ lớn cho thấy doanh nghiệp Trung Quốc bán/bộ xuất khẩu công nghệ DPI của “Vạn lý tường lửa” cho nhiều nước. Kỹ thuật chặn hiện đại thường dựa vào kiểm tra gói tin sâu (DPI): chặn DNS, RST-injection khi thấy tên miền trong TLS SNI/HTTP Host, hoặc chặn QUIC/UDP—những cách này đã được nghiên cứu rất rõ (dù ví dụ điển hình là Trung Quốc).

Ngày 11/9/2025, hơn 500 GB tài liệu nội bộ bị lộ, quy về công ty Geedge Networks và một nhóm nghiên cứu thuộc Viện Khoa học Thông tin – Viện Hàn lâm KH Trung Quốc (MESA Lab). Tài liệu gồm mã nguồn, manual vận hành, email, nhật ký triển khai… cho thấy một gói DPI kiểm duyệt dạng “turn-key” được bán/triển khai cho nhiều nước (Myanmar, Kazakhstan, Ethiopia, Pakistan).

Rò rỉ mô tả nền tảng/thương phẩm như Tiangou / Tiangou Secure Gateway: lọc lưu lượng, chặn VPN, theo dõi người dùng, thậm chí hỗ trợ tiêm mã độc — tức là đóng gói “Vạn lý tường lửa” để xuất khẩu.

Nhiều bài điều tra ghi nhận mối liên hệ với các nhân vật/đơn vị từng kiến trúc GFW, củng cố nhận định đây không chỉ là “tường lửa doanh nghiệp” mà là hệ sinh thái kiểm duyệt nhà nước được thương mại hoá.

“Vạn lý tường lửa” vận hành thế nào (tóm lược kỹ thuật)
Đầu độc DNS / DNS injection ở quy mô quốc gia: trả lời giả cho tên miền bị cấm. Hệ thống này được theo dõi dài hạn bởi dự án GFWatch (Citizen Lab/USENIX).
Lọc theo SNI/TLS & HTTP Host, chặn IP, tiêm TCP RST khi phát hiện từ khoá/điểm đến “nhạy cảm”.
Chặn QUIC/HTTP/3: nghiên cứu 2025 cho thấy GFW có thể giải mã gói QUIC Initial ở quy mô lớn để áp quy tắc chặn theo tên miền/heuristic riêng.
Công cụ tấn công liên quan như “Great Cannon” từng bị Citizen Lab phân tích (dùng cho DDoS/tiêm mã).
Xu hướng mới: nhận diện “lưu lượng ngụy trang” (obfuscated proxies) bằng fingerprint TLS nhiều lớp—thách thức các VPN/bridge thông thường.

Nếu một nước “mua trọn bộ” kiểu Geedge, người dùng sẽ thấy: DNS bị can thiệp + SNI/QUIC bị chặn + VPN bị nhận diện theo fingerprint, chứ không chỉ block IP đơn giản. Điều này giải thích hiện tượng lúc vào được, lúc không dù đã bật VPN, nhất là khi VPN dùng WireGuard/UDP. Phía dịch vụ/website nên tính đến: CDN hỗ trợ TLS1.3/ECH, đa miền/multi-CDN, kênh .onion cho người dùng Tor, và theo dõi DoH/DoT cho độc giả để né DNS poisoning. (Các kỹ thuật này được khuyến nghị rộng rãi trong tài liệu học thuật/chuẩn hoá về kiểm duyệt.)