朝鲜网络揭秘:金正恩上台后网络大规模整改

1312231204583m4b3

 

2011年12月19日,也就是三胖上台后的第三天,我对这一新任领导如何改革朝鲜的网络很是好奇,于是乎就对其网络空间进行了扫描。

朝鲜地区如何上网

朝鲜互联网接入方式和其他一些事情一样,都很特殊。据官方称,朝鲜拥有一个完全覆盖全国各地的超级局域网,大多数县民仅仅是访问下局域网就行了。注意了,并不是说朝鲜在闭关锁国了,朝鲜的官方政府,新闻记者,其他一些有能力的人,以及来朝鲜朝拜的游客都可以随意访问世界各地网站。

总的说来,朝鲜想要连接到世界网络,就需要搭上天朝这边的网络,或者是连接到卫星。

以下就是我扫描到的朝鲜IP地址

朝鲜分配的网络地址范围:175.45.176.0/22:

inetnum:        175.45.176.0 - 175.45.179.255
netname:        STAR-KP
descr:          Ryugyong-dong
descr:          Potong-gang District
country:        KP
status:         ALLOCATED PORTABLE
mnt-by:         APNIC-HM
mnt-lower:      MAINT-STAR-KP
mnt-routes:     MAINT-STAR-KP
changed:        20091221
source:         APNIC

当然,朝鲜之所以伟大,那是因为朝鲜至少有两个B类地址。

朝鲜领导就下命令了,允许朝鲜国民使用以下B类地址:

210.52.109.0/24 ,这个B类地址是通过中国联通作为原始IP来源分配给朝鲜。

inetnum:        210.52.109.0 - 210.52.109.255
netname:        KPTC
country:        CN
descr:          Customer of CNC
status:         ASSIGNED NON-PORTABLE
changed:        20040803
mnt-by:         MAINT-CN-ZM28
source:         APNIC

77.94.35.0/24 ,这个B类地址是SatGate(俄罗斯的一家卫星公司)分配给朝鲜的。这也是朝鲜唯一一个在RIPE注册的地址。

inetnum:        77.94.35.0 - 77.94.35.255
netname:        SATGATE-FILESTREAM
descr:         Korean network
country:        KP
admin-c:        AVA205-RIPE
admin-c:        EVE7-RIPE
tech-c:         PPU4-RIPE
tech-c:         ANM47-RIPE
status:         ASSIGNED PA
mnt-by:         SATGATE-MNT
source:         RIPE
20141223213639

从SatGate公司提供的覆盖图中,我们可以看到提供给朝鲜的服务并不是SatGate公司已知的卫星,竟然还是VIP服务,不泄漏朝鲜隐私,给赞一个!

但是,通过SatGate分配的IP地址,网络服务就要通过IntelSat(国际通信卫星组织)。目前IntelSat有很多卫星可以提供服务,特别是IntelSat 22卫星有更好的覆盖范围。

20141223213706

还有一些其他的卫星不同程度的覆盖了部分朝鲜半岛。

根据DynResearch的数据,似乎朝鲜基本上都是使用天朝联通,卫星只是作为一个后备。

无论怎么说,还是长话短说吧。我重点关注的还是分配给朝鲜的IP地址。

方法

这段时间我一直在做扫描工作。遗憾的是,由于种种原因,没有完全做完。

我所有的扫描工作都是使用的Nmap:

nmap -p1-65535 -sV -O 175.45.176.0/22 -T4> nk.scan &
nmap-p1-65535 -sV -O 175.45.176.0/22 -T4 -Pn > nkall.scan &

从本质上来说,我扫描了所有IP地址的全部端口,这都得益于Nmap的优秀表现。

原始数据

随意浏览扫描日志(笔者已经分享到GitHub

在每个目录下都有一个filtered.scan的过滤文件,这个文件不重要的。

记住,随意浏览不必去看原始日志。

我注意到的一些东西

其中我最感兴趣的便是,朝鲜自从换领导以后,连接到网络的电脑情况是怎样的呢?

相信这个答案,也是诸位客官十分关注的吧,很不幸的是,我得出的结论是并没有增加多少,但是如果你只是看扫描日志,那么你会吓一跳。

朝鲜基础设施

最开始,朝鲜大部分基础设施都使用的Linux,当你知道朝鲜自己有基于Linux开发Red Star OS时就不会感到惊奇了。事实上,从今年的扫描结果可以看到,朝鲜一些Web服务器在使用的Red Star OS。

Nmap scan report for naenara.com.kp(175.45.176.67)
PORT   STATE SERVICE VERSION
80/tcp  open http    Apache httpd 2.2.15((RedStar 3.0)  DAV/2 PHP/5.3.3mod_ssl/2.2.15 OpenSSL/1.0.0-fips)

在我的最近一次扫描中就包括了3台Red Star OS机器。

有趣的是,早前这个时候,我扫描结果中有几台Red Hat机器替换成了Red Star,估计是朝鲜准备将Red Hat替换成Red Star的节奏。

朝鲜也使用Centos(在最近一次扫描中就有4台,比朝鲜产的Red Star还要多),说了这么多Linux,其实朝鲜也会使用Windows。所以综上所述,朝鲜已经具备了多元化的基础设备环境,而不仅仅是Linux当道。

但是,在我这几年的观察中,他们的基础设备并没有改变多少。虽然如此,但是朝鲜本土运行的网站倒是越来越多了。

Nmap scan report for 175.45.178.129
Not shown: 65523 closed ports
PORT    STATE    SERVICE        VERSION
22/tcp  open     ssh            Cisco SSH 1.25 (protocol 1.99)
23/tcp  open     telnet         Cisco router telnetd
80/tcp  open     http           Cisco IOS http config
443/tcp  open    ssl/http       Cisco IOS httpconfig

朝鲜对于网络安全这块还是不够重视啊。

客户端机器

更加有趣的是那些进入网络的客户机。朝鲜大部分计算机都是处在淘汰边缘的产品,而且一些计算机竟然充当服务器角色进入网络。

APPLES APPLES EVERYWHERE, BUT NOT A BITE TOEAT

2012年3月20日扫描结果中,奇迹发现有一台MacBook Air,乔帮主还是伟大的。这台苹果的网络记录有些不正常。

map scan report for 175.45.177.38
Host is up (0.35s latency).
Not shown: 65521 closed ports
PORT    STATE    SERVICE        VERSION
22/tcp  open     ssh            OpenSSH 5.6 (protocol 2.0)
88/tcp  open     kerberos-sec   Microsoft Windows kerberos-sec
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
548/tcp open     afp?
593/tcp filtered http-rpc-epmap
3689/tcp open     rendezvous?
4444/tcp filtered krb524
4488/tcp open     unknown
5900/tcp open     vnc            Apple remote desktop vnc
1 service unrecognized despite returningdata. If you know the service/version, please submit the following fingerprintat http://www.insecure.org/cg
i-bin/servicefp-submit.cgi :
SF-Port548-TCP:V=5.50%I=7%D=3/20%Time=4F687DAA%P=x86_64-redhat-linux-gnu%r
SF:(SSLSessionReq,223,"\x01\x03Q\xec\xff\xff\x02\x13\x000\
SF:0>b\x9f\xfb\x1badministrator\xd5s\x20MacBook\x20Air\x9b\xab
SF:\xff\x01p\x01\x8f\rMacBookAir4,1\x05\x06AFP3\.4\x06AFP3\.3\x06AFP3\.2\x
SF:06AFP3\.1\x06AFPX03\x06\tDHCAST128\x04DHX2\x06Recon1\rClient\x20Krb\x20
SF:v2\x03GSS\x0fNo\x20User\x20Authent\x15\+\xc3\xd9\xf9Q\[\xc7\xa1\x02\xa7
SF:D\x88D\xb2\(\x05\x08\x02\xaf-\xb1&\x02\$\x14\x07\xfe\x80\x0
SF:2\xff\xfe\r\x06\x02\$\x14\x07\xfe\x80b\xc5G\xff\xfe\x
SF:03\[f\x02\$\x14\x07\xfde\x87R\xd7!\xa4b\xc5G\xff\xfe\x03\[f\x02\$\x0f
SF:\x04175\.45\.177\.38\x01oafpserver/LKDC:SHA1\.AA6C3E197C870B839764D57E8
SF:9AF4A940C95B060@LKDC:SHA1\.AA6C3E197C870B839764D57E89AF4A940C95B060\x
SF:1dadministrator\xe2\x80\x99s\x20MacBook\x20Air\x80`~\x06\x06\+\x0

我猜测这台苹果机运行了侦查程序,这方面笔者不是太熟悉。

结论:朝鲜有高大上的MacBook,这台机器可能是记者的机器,这估计是最合理的解释了。

虚拟化技术

不说说这个东西,免得你以为朝鲜跟不上世界的脚步。要知道朝鲜已经开始使用VMware了。

Nmap scan report for 175.45.178.134
Not shown: 65534 filtered ports
PORT   STATE SERVICE     VERSION
912/tcp open  vmware-auth VMware Authentication Daemon 1.0(Uses VNC, SOAP)
Warning: OSScan results may be unreliablebecause we could not find at least 1 open and 1 closed port
Device type: general purpose|phone
Running: Microsoft Windows2008|Phone|Vista|7
OS CPE: cpe:/o:microsoft:windows_server_2008::beta3cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::-cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_7
OSdetails: Microsoft Windows Server 2008 Beta 3, Microsoft Windows Phone 7.5,Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7,Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008

直到今年9月份,我都没有找到任何的证据。VMware对于朝鲜民众来说可能是一个比较新的玩意吧,但是不排除他们在内部网络已经玩很久了。

Say bye

Enjoy the scans, have fun。

参考资料

SatGate coverage map:http://satgate.net/images/new_maps/map_index.jpg
IntelSat coverage maps:http://exnetapps.intelsat.com/flash/coverage-maps/index.html

扫描结果:https://github.com/nknetobserver/nknetobserver.github.io/tree/master/scans/

 

朝鲜网络揭秘:金正恩上台后网络大规模整改:等您发表观点!

发表评论


快捷键:Ctrl+Enter