朝鲜网络揭秘:金正恩上台后网络大规模整改

2011年12月19日,也就是三胖上台后的第三天,我对这一新任领导如何改革朝鲜的网络很是好奇,于是乎就对其网络空间进行了扫描。

朝鲜地区如何上网

朝鲜互联网接入方式和其他一些事情一样,都很特殊。据官方称,朝鲜拥有一个完全覆盖全国各地的超级局域网,大多数县民仅仅是访问下局域网就行了。注意了,并不是说朝鲜在闭关锁国了,朝鲜的官方政府,新闻记者,其他一些有能力的人,以及来朝鲜朝拜的游客都可以随意访问世界各地网站。

总的说来,朝鲜想要连接到世界网络,就需要搭上天朝这边的网络,或者是连接到卫星。

以下就是我扫描到的朝鲜IP地址

朝鲜分配的网络地址范围:175.45.176.0/22:

inetnum:        175.45.176.0 - 175.45.179.255  netname:        STAR-KP  descr:          Ryugyong-dong  descr:          Potong-gang District  country:        KP  status:         ALLOCATED PORTABLE  mnt-by:         APNIC-HM  mnt-lower:      MAINT-STAR-KP  mnt-routes:     MAINT-STAR-KP  changed:        20091221  source:         APNIC

当然,朝鲜之所以伟大,那是因为朝鲜至少有两个网段。

朝鲜领导就下命令了,允许朝鲜国民使用以下网段:

210.52.109.0/24 ,这个网段是通过中国联通作为原始IP来源分配给朝鲜。

inetnum:        210.52.109.0 - 210.52.109.255  netname:        KPTC  country:        CN  descr:          Customer of CNC  status:         ASSIGNED NON-PORTABLE  changed:        20040803  mnt-by:         MAINT-CN-ZM28  source:         APNIC

77.94.35.0/24 ,这个网段是SatGate(俄罗斯的一家卫星公司)分配给朝鲜的。这也是朝鲜唯一一个在RIPE注册的地址。

inetnum:        77.94.35.0 - 77.94.35.255  netname:        SATGATE-FILESTREAM  descr:         Korean network  country:        KP  admin-c:        AVA205-RIPE  admin-c:        EVE7-RIPE  tech-c:         PPU4-RIPE  tech-c:         ANM47-RIPE  status:         ASSIGNED PA  mnt-by:         SATGATE-MNT  source:         RIPE

朝鲜网络揭秘:金正恩上台后网络大规模整改

从SatGate公司提供的覆盖图中,我们可以看到提供给朝鲜的服务并不是SatGate公司已知的卫星,竟然还是VIP服务,不泄漏朝鲜隐私,给赞一个!

但是,通过SatGate分配的IP地址,网络服务就要通过IntelSat(国际通信卫星组织)。目前IntelSat有很多卫星可以提供服务,特别是IntelSat 22卫星有更好的覆盖范围。

朝鲜网络揭秘:金正恩上台后网络大规模整改

还有一些其他的卫星不同程度的覆盖了部分朝鲜半岛。

根据DynResearch的数据,似乎朝鲜基本上都是使用天朝联通,卫星只是作为一个后备。

无论怎么说,还是长话短说吧。我重点关注的还是分配给朝鲜的IP地址。

方法

这段时间我一直在做扫描工作。遗憾的是,由于种种原因,没有完全做完。

我所有的扫描工作都是使用的Nmap:

nmap -p1-65535 -sV -O 175.45.176.0/22 -T4> nk.scan &  nmap-p1-65535 -sV -O 175.45.176.0/22 -T4 -Pn > nkall.scan &

从本质上来说,我扫描了所有IP地址的全部端口,这都得益于Nmap的优秀表现。

原始数据

随意浏览扫描日志(笔者已经分享到GitHub

在每个目录下都有一个filtered.scan的过滤文件,这个文件不重要的。

记住,随意浏览不必去看原始日志。

我注意到的一些东西

其中我最感兴趣的便是,朝鲜自从换领导以后,连接到网络的电脑情况是怎样的呢?

相信这个答案,也是诸位客官十分关注的吧,很不幸的是,我得出的结论是并没有增加多少,但是如果你只是看扫描日志,那么你会吓一跳。

朝鲜基础设施

最开始,朝鲜大部分基础设施都使用的Linux,当你知道朝鲜自己有基于Linux开发Red Star OS时就不会感到惊奇了。事实上,从今年的扫描结果可以看到,朝鲜一些Web服务器在使用的Red Star OS。

Nmap scan report for naenara.com.kp(175.45.176.67)  PORT   STATE SERVICE VERSION  80/tcp  open http    Apache httpd 2.2.15((RedStar 3.0)  DAV/2 PHP/5.3.3mod_ssl/2.2.15 OpenSSL/1.0.0-fips)

在我的最近一次扫描中就包括了3台Red Star OS机器。

有趣的是,早前这个时候,我扫描结果中有几台Red Hat机器替换成了Red Star,估计是朝鲜准备将Red Hat替换成Red Star的节奏。

朝鲜也使用Centos(在最近一次扫描中就有4台,比朝鲜产的Red Star还要多),说了这么多Linux,其实朝鲜也会使用Windows。所以综上所述,朝鲜已经具备了多元化的基础设备环境,而不仅仅是Linux当道。

但是,在我这几年的观察中,他们的基础设备并没有改变多少。虽然如此,但是朝鲜本土运行的网站倒是越来越多了。

Nmap scan report for 175.45.178.129  Not shown: 65523 closed ports  PORT    STATE    SERVICE        VERSION  22/tcp  open     ssh            Cisco SSH 1.25 (protocol 1.99)  23/tcp  open     telnet         Cisco router telnetd  80/tcp  open     http           Cisco IOS http config  443/tcp  open    ssl/http       Cisco IOS httpconfig

朝鲜对于网络安全这块还是不够重视啊。

客户端机器

更加有趣的是那些进入网络的客户机。朝鲜大部分计算机都是处在淘汰边缘的产品,而且一些计算机竟然充当服务器角色进入网络。

APPLES APPLES EVERYWHERE, BUT NOT A BITE TOEAT

2012年3月20日扫描结果中,奇迹发现有一台MacBook Air,乔帮主还是伟大的。这台苹果的网络记录有些不正常。

map scan report for 175.45.177.38  Host is up (0.35s latency).  Not shown: 65521 closed ports  PORT    STATE    SERVICE        VERSION  22/tcp  open     ssh            OpenSSH 5.6 (protocol 2.0)  88/tcp  open     kerberos-sec   Microsoft Windows kerberos-sec  135/tcp filtered msrpc  136/tcp filtered profile  137/tcp filtered netbios-ns  138/tcp filtered netbios-dgm  139/tcp filtered netbios-ssn  445/tcp filtered microsoft-ds  548/tcp open     afp?  593/tcp filtered http-rpc-epmap  3689/tcp open     rendezvous?  4444/tcp filtered krb524  4488/tcp open     unknown  5900/tcp open     vnc            Apple remote desktop vnc  1 service unrecognized despite returningdata. If you know the service/version, please submit the following fingerprintat http://www.insecure.org/cg  i-bin/servicefp-submit.cgi :  SF-Port548-TCP:V=5.50%I=7%D=3/20%Time=4F687DAA%P=x86_64-redhat-linux-gnu%r  SF:(SSLSessionReq,223,"/x01/x03Q/xec/xff/xff/x02/x13/x000/  SF:0>b/x9f/xfb/x1badministrator/xd5s/x20MacBook/x20Air/x9b/xab  SF:/xff/x01p/x01/x8f/rMacBookAir4,1/x05/x06AFP3/.4/x06AFP3/.3/x06AFP3/.2/x  SF:06AFP3/.1/x06AFPX03/x06/tDHCAST128/x04DHX2/x06Recon1/rClient/x20Krb/x20  SF:v2/x03GSS/x0fNo/x20User/x20Authent/x15/+/xc3/xd9/xf9Q/[/xc7/xa1/x02/xa7  SF:D/x88D/xb2/(/x05/x08/x02/xaf-/xb1&/x02/$/x14/x07/xfe/x80/x0  SF:2/xff/xfe/r/x06/x02/$/x14/x07/xfe/x80b/xc5G/xff/xfe/x  SF:03/[f/x02/$/x14/x07/xfde/x87R/xd7!/xa4b/xc5G/xff/xfe/x03/[f/x02/$/x0f  SF:/x04175/.45/.177/.38/x01oafpserver/LKDC:SHA1/.AA6C3E197C870B839764D57E8  SF:9AF4A940C95B060@LKDC:SHA1/.AA6C3E197C870B839764D57E89AF4A940C95B060/x  SF:1dadministrator/xe2/x80/x99s/x20MacBook/x20Air/x80`~/x06/x06/+/x0

我猜测这台苹果机运行了侦查程序,这方面笔者不是太熟悉。

结论:朝鲜有高大上的MacBook,这台机器可能是记者的机器,这估计是最合理的解释了。

虚拟化技术

不说说这个东西,免得你以为朝鲜跟不上世界的脚步。要知道朝鲜已经开始使用VMware了。

Nmap scan report for 175.45.178.134  Not shown: 65534 filtered ports  PORT   STATE SERVICE     VERSION  912/tcp open  vmware-auth VMware Authentication Daemon 1.0(Uses VNC, SOAP)  Warning: OSScan results may be unreliablebecause we could not find at least 1 open and 1 closed port  Device type: general purpose|phone  Running: Microsoft Windows2008|Phone|Vista|7  OS CPE: cpe:/o:microsoft:windows_server_2008::beta3cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::-cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_7  OSdetails: Microsoft Windows Server 2008 Beta 3, Microsoft Windows Phone 7.5,Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7,Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008

直到今年9月份,我都没有找到任何的证据。VMware对于朝鲜民众来说可能是一个比较新的玩意吧,但是不排除他们在内部网络已经玩很久了。

Say bye

Enjoy the scans, have fun。

参考资料

SatGate coverage map:http://satgate.net/images/new_maps/map_index.jpg
IntelSat coverage maps:http://exnetapps.intelsat.com/flash/coverage-maps/index.html

扫描结果:https://github.com/nknetobserver/nknetobserver.github.io/tree/master/scans/

[参考来源作者博客,译/实习编辑鸢尾,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)]

发表评论