朝鮮網絡揭秘:金正恩上臺后網絡大規模整改
責編:admin |2014-12-24 12:58:282011年12月19日,也就是三胖上臺后的第三天,我對這一新任領導如何改革朝鮮的網絡很是好奇,于是乎就對其網絡空間進行了掃描。
朝鮮地區如何上網
朝鮮互聯網接入方式和其他一些事情一樣,都很特殊。據官方稱,朝鮮擁有一個完全覆蓋全國各地的超級局域網,大多數縣民僅僅是訪問下局域網就行了。注意了,并不是說朝鮮在閉關鎖國了,朝鮮的官方政府,新聞記者,其他一些有能力的人,以及來朝鮮朝拜的游客都可以隨意訪問世界各地網站。
總的說來,朝鮮想要連接到世界網絡,就需要搭上天朝這邊的網絡,或者是連接到衛星。
以下就是我掃描到的朝鮮IP地址
朝鮮分配的網絡地址范圍:175.45.176.0/22:
inetnum: 175.45.176.0 – 175.45.179.255
netname: STAR-KP
descr: Ryugyong-dong
descr: Potong-gang District
country: KP
status: ALLOCATED PORTABLE
mnt-by: APNIC-HM
mnt-lower: MAINT-STAR-KP
mnt-routes: MAINT-STAR-KP
changed: 20091221
source: APNIC
當然,朝鮮之所以偉大,那是因為朝鮮至少有兩個B類地址。
朝鮮領導就下命令了,允許朝鮮國民使用以下B類地址:
210.52.109.0/24 ,這個B類地址是通過中國聯通作為原始IP來源分配給朝鮮。
inetnum: 210.52.109.0 – 210.52.109.255
netname: KPTC
country: CN
descr: Customer of CNC
status: ASSIGNED NON-PORTABLE
changed: 20040803
mnt-by: MAINT-CN-ZM28
source: APNIC
77.94.35.0/24 ,這個B類地址是SatGate(俄羅斯的一家衛星公司)分配給朝鮮的。這也是朝鮮唯一一個在RIPE注冊的地址。
inetnum: 77.94.35.0 – 77.94.35.255
netname: SATGATE-FILESTREAM
descr: Korean network
country: KP
admin-c: AVA205-RIPE
admin-c: EVE7-RIPE
tech-c: PPU4-RIPE
tech-c: ANM47-RIPE
status: ASSIGNED PA
mnt-by: SATGATE-MNT
source: RIPE
從SatGate公司提供的覆蓋圖中,我們可以看到提供給朝鮮的服務并不是SatGate公司已知的衛星,竟然還是VIP服務,不泄漏朝鮮隱私,給贊一個!
但是,通過SatGate分配的IP地址,網絡服務就要通過IntelSat(國際通信衛星組織)。目前IntelSat有很多衛星可以提供服務,特別是IntelSat 22衛星有更好的覆蓋范圍。
還有一些其他的衛星不同程度的覆蓋了部分朝鮮半島。
根據DynResearch的數據,似乎朝鮮基本上都是使用天朝聯通,衛星只是作為一個后備。
無論怎么說,還是長話短說吧。我重點關注的還是分配給朝鮮的IP地址。
方法
這段時間我一直在做掃描工作。遺憾的是,由于種種原因,沒有完全做完。
我所有的掃描工作都是使用的Nmap:
nmap -p1-65535 -sV -O 175.45.176.0/22 -T4> nk.scan &
nmap-p1-65535 -sV -O 175.45.176.0/22 -T4 -Pn > nkall.scan &
從本質上來說,我掃描了所有IP地址的全部端口,這都得益于Nmap的優秀表現。
原始數據
隨意瀏覽掃描日志(筆者已經分享到GitHub)
在每個目錄下都有一個filtered.scan的過濾文件,這個文件不重要的。
記住,隨意瀏覽不必去看原始日志。
我注意到的一些東西
其中我最感興趣的便是,朝鮮自從換領導以后,連接到網絡的電腦情況是怎樣的呢?
相信這個答案,也是諸位客官十分關注的吧,很不幸的是,我得出的結論是并沒有增加多少,但是如果你只是看掃描日志,那么你會嚇一跳。
朝鮮基礎設施
最開始,朝鮮大部分基礎設施都使用的Linux,當你知道朝鮮自己有基于Linux開發Red Star OS時就不會感到驚奇了。事實上,從今年的掃描結果可以看到,朝鮮一些Web服務器在使用的Red Star OS。
Nmap scan report for naenara.com.kp(175.45.176.67)
PORT STATE SERVICE VERSION
80/tcp open http Apache httpd 2.2.15((RedStar 3.0) DAV/2 PHP/5.3.3mod_ssl/2.2.15 OpenSSL/1.0.0-fips)
在我的最近一次掃描中就包括了3臺Red Star OS機器。
有趣的是,早前這個時候,我掃描結果中有幾臺Red Hat機器替換成了Red Star,估計是朝鮮準備將Red Hat替換成Red Star的節奏。
朝鮮也使用Centos(在最近一次掃描中就有4臺,比朝鮮產的Red Star還要多),說了這么多Linux,其實朝鮮也會使用Windows。所以綜上所述,朝鮮已經具備了多元化的基礎設備環境,而不僅僅是Linux當道。
但是,在我這幾年的觀察中,他們的基礎設備并沒有改變多少。雖然如此,但是朝鮮本土運行的網站倒是越來越多了。
Nmap scan report for 175.45.178.129
Not shown: 65523 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh Cisco SSH 1.25 (protocol 1.99)
23/tcp open telnet Cisco router telnetd
80/tcp open http Cisco IOS http config
443/tcp open ssl/http Cisco IOS httpconfig
朝鮮對于網絡安全這塊還是不夠重視啊。
客戶端機器
更加有趣的是那些進入網絡的客戶機。朝鮮大部分計算機都是處在淘汰邊緣的產品,而且一些計算機竟然充當服務器角色進入網絡。
APPLES APPLES EVERYWHERE, BUT NOT A BITE TOEAT
2012年3月20日掃描結果中,奇跡發現有一臺MacBook Air,喬幫主還是偉大的。這臺蘋果的網絡記錄有些不正常。
map scan report for 175.45.177.38
Host is up (0.35s latency).
Not shown: 65521 closed ports
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.6 (protocol 2.0)
88/tcp open kerberos-sec Microsoft Windows kerberos-sec
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
548/tcp open afp?
593/tcp filtered http-rpc-epmap
3689/tcp open rendezvous?
4444/tcp filtered krb524
4488/tcp open unknown
5900/tcp open vnc Apple remote desktop vnc
1 service unrecognized despite returningdata. If you know the service/version, please submit the following fingerprintat http://www.insecure.org/cg
i-bin/servicefp-submit.cgi :
SF-Port548-TCP:V=5.50%I=7%D=3/20%Time=4F687DAA%P=x86_64-redhat-linux-gnu%r
SF:(SSLSessionReq,223,"x01x03Qxecxffxffx02x13x000
SF:0>bx9fxfbx1badministratorxd5sx20MacBookx20Airx9bxab
SF:xffx01px01x8f
MacBookAir4,1x05x06AFP3.4x06AFP3.3x06AFP3.2x
SF:06AFP3.1x06AFPX03x06 DHCAST128x04DHX2x06Recon1
Clientx20Krbx20
SF:v2x03GSSx0fNox20Userx20Authentx15+xc3xd9xf9Q[xc7xa1x02xa7
SF:Dx88Dxb2(x05x08x02xaf-xb1&x02$x14x07xfex80x0
SF:2xffxfe
x06x02$x14x07xfex80bxc5Gxffxfex
SF:03[fx02$x14x07xfdex87Rxd7!xa4bxc5Gxffxfex03[fx02$x0f
SF:x04175.45.177.38x01oafpserver/LKDC:SHA1.AA6C3E197C870B839764D57E8
SF:9AF4A940C95B060@LKDC:SHA1.AA6C3E197C870B839764D57E89AF4A940C95B060x
SF:1dadministratorxe2x80x99sx20MacBookx20Airx80`~x06x06+x0
我猜測這臺蘋果機運行了偵查程序,這方面筆者不是太熟悉。
結論:朝鮮有高大上的MacBook,這臺機器可能是記者的機器,這估計是最合理的解釋了。
虛擬化技術
不說說這個東西,免得你以為朝鮮跟不上世界的腳步。要知道朝鮮已經開始使用VMware了。
Nmap scan report for 175.45.178.134
Not shown: 65534 filtered ports
PORT STATE SERVICE VERSION
912/tcp open vmware-auth VMware Authentication Daemon 1.0(Uses VNC, SOAP)
Warning: OSScan results may be unreliablebecause we could not find at least 1 open and 1 closed port
Device type: general purpose|phone
Running: Microsoft Windows2008|Phone|Vista|7
OS CPE: cpe:/o:microsoft:windows_server_2008::beta3cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::-cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_7
OSdetails: Microsoft Windows Server 2008 Beta 3, Microsoft Windows Phone 7.5,Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7,Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008
直到今年9月份,我都沒有找到任何的證據。VMware對于朝鮮民眾來說可能是一個比較新的玩意吧,但是不排除他們在內部網絡已經玩很久了。
Say bye
Enjoy the scans, have fun。