2026年1月14日,UTC时间21:00。

互联网的底层管道里,发生了一件怪事。

如果你盯着GreyNoise全球观测网的屏幕,你会看到一条代表Telnet流量的曲线,原本平稳地运行在每小时7万多会话的水平上。然后,就在那个瞬间,它断崖式地跌了下去。

这不是那种温水煮青蛙式的缓慢衰退,也不是数据采集管线出了bug。

这是一次斩首。

前一小时,还有约74,000个会话;下一小时,只剩下22,000个。两小时后,流量地板被击穿,只剩下11,000个。全球Telnet流量在一个小时内被砍掉了83%,而且再也没涨回来。

老实讲,在网络安全行业,这种干净利落的“断崖”我还是第一次见。这不像自然演化,更像是一次蓄谋已久的“拔线”。

image

谁被“抹除”了?

这波操作最狠的地方在于它的针对性。

并不是所有人都受到了暴击,但有些倒霉蛋直接被“清零”了。

看看这份名单:Vultr,之前每天有38.2万次会话,归零;Cox Communications,15万次,没了;Charter/Spectrum,14.1万次,消失;英国电信BT,12.7万次,也没了。

这可不是什么技术故障,这是“物理隔绝”。

更夸张的是,有五个国家的Telnet流量直接从地图上被抹去了:津巴布韦、乌克兰、加拿大、波兰、埃及。不是减少,是彻底归零

有意思的是,当这些传统ISP和国家级网络在“流血”时,云巨头们却在一旁看戏,甚至还在偷笑。

AWS的流量反而涨了78%,Contabo涨了90%,DigitalOcean基本持平。为什么?因为云厂商们早就搞定了广泛的私有对等互联,它们的数据根本不经过那些被“动手脚”的传统骨干网。

这就像是一场精心策划的路由手术,刀法极其精准,避开了主动脉,专门切那些毛细血管。

谁的手指在按钮上?

这事儿怎么看怎么像人为的。

那个时间点——UTC时间21:00,换算成美国东部时间就是下午4点。懂行的都知道,这是北美ISP最喜欢的维护窗口期。

再看看受害者的名单,美国本土的住宅ISP(Cox、Charter、Comcast)损失惨重,而同在北美大陆的云厂商却毫发无损。

所有的线索都指向同一个嫌疑人:北美的一级骨干网提供商。

极有可能是某个掌握着互联网主干道话语权的巨头,突然决定在端口23上设了一道关卡。Verizon/UUNET(AS701)的流量瞬间掉了79%,这很难解释为巧合,它要么是那个“动手的人”,要么就坐在那个人的正下游。

那些依赖跨太平洋或跨大西洋线路连接美国的国家——比如加拿大、埃及——被一锅端了,而那些在欧洲内部就有强大对等互联的国家——比如法国(+18%)、德国(-1%)——几乎没感觉。

这种巨大的反差,只能说明一个问题:有人在主干道上挖了个坑,所有路过的人都被迫跳下去。

六天后的“核弹”

如果故事到这里就结束了,那充其量也就是一次激进的网络清洗。

但六天后发生的事情,让这次“断网”充满了阴谋的味道。

1月20日,一个编号为CVE-2026-24061的安全公告横空出世。这是一个被评为“严重”(CVSS 9.8)级别的漏洞,存在于GNU Inetutils的telnetd服务中。

这个漏洞简单得让人发指,只要在用户名里输入-f root,登录程序就会像个听话的傻瓜一样跳过验证,直接给你一个root权限的shell。

image

不需要密码,不需要交互,只要一行代码。

更讽刺的是,这段要命的代码已经在系统里潜伏了整整11年。 它是2015年的一次提交里被加进去的,一直没人发现。

现在,让我们把时间线拼在一起看:

1月14日,骨干网切断Telnet流量。
1月20日,CVE漏洞公开披露。
1月26日,美国网络安全和基础设施安全局(CISA)将其列入“已知利用漏洞”(KEV)目录。

这中间六天的“时间差”,才是最耐人寻味的地方。

一次有预谋的“封杀”?

按照常理,漏洞披露通常是先公开,再修补,最后才会有运营商层面的反应。

但这次完全反过来了。是流量先断的,漏洞才爆出来的。

我个人不太相信这是巧合。更合理的解释是:这是一次有预谋的“封杀”。

负责的研究员可能在1月14日之前就已经把漏洞情报悄悄递送给了拥有“上帝视角”的关键基础设施方。某个或者某几个一级骨干网提供商在评估风险后,做出了一个极其大胆的决定——不等你们慢慢修补了,我先帮你们把路堵上。

于是,在CVE公开的前六天,端口23的过滤器已经悄然上线。

这种做法虽然粗暴,但不得不说,可能是对的。GreyNoise的数据显示,漏洞公开后仅仅几个小时,利用尝试就开始了,并在2月初达到了每天约2600次会话的高峰。

image

如果那道过滤器没有在1月14日拉下,这六天的真空期里,全球不知道有多少老旧的嵌入式设备、网络家电会被那个简单的-f root命令瞬间攻破。

互联网变得更“窄”了

截至2月10日,全球Telnet流量依然维持在比断崖前低60%的水平。

那个曾经承载着互联网早期记忆的协议,现在就像一条被截肢的肢体,虽然还在神经末梢抽搐,但已经失去了活力。

我个人觉得,这标志着一个时代的终结。

以前我们总说互联网是“端到端”的,是开放的,是自由流动的。但现在,为了安全,为了防御那些潜伏了11年的幽灵,拥有权力的巨头们开始毫不犹豫地动用“物理手段”。

image

有人说,这不仅是Telnet的死亡,更是互联网分层的开始。Tier 1运营商开始过滤端口,这事儿细思极恐,因为这绕过了BGP路由协议,直接用行政命令切断了连接。

但说实话,考虑到那个只要输入用户名就能拿root权限的漏洞,这可能也是不得不做的选择。

Telnet作为客户端没死,你还能用它连SMTP端口;但作为服务器端,作为那个敞开大门欢迎任何人连接的古老协议,它在2026年1月的一个下午,被主流互联网无情地抛弃了。

这到底是互联网的自我免疫,还是某种更深层控制的开始?

谁知道呢。反正那根线,已经被剪断了。

参考链接:
https://www.labs.greynoise.io/grimoire/2026-02-10-telnet-falls-silent/