朝鲜网络揭秘:金正恩上台后网络大规模整改


发布人:admin分类:网络安全浏览量:38发布时间:2017-12-12

2011年12月19日,也就是三胖上台后的第三天,我对这一新任领导如何改革朝鲜的网络很是好奇,于是乎就对其网络空间进行了扫描。

朝鲜地区如何上网

朝鲜互联网接入方式和其他一些事情一样,都很特殊。据官方称,朝鲜拥有一个完全覆盖全国各地的超级局域网,大多数县民仅仅是访问下局域网就行了。注意了,并不是说朝鲜在闭关锁国了,朝鲜的官方政府,新闻记者,其他一些有能力的人,以及来朝鲜朝拜的游客都可以随意访问世界各地网站。

总的说来,朝鲜想要连接到世界网络,就需要搭上天朝这边的网络,或者是连接到卫星。

以下就是我扫描到的朝鲜IP地址

朝鲜分配的网络地址范围:175.45.176.0/22:

inetnum:        175.45.176.0 - 175.45.179.255
netname:        STAR-KP
descr:          Ryugyong-dong
descr:          Potong-gang District
country:        KP
status:         ALLOCATED PORTABLE
mnt-by:         APNIC-HM
mnt-lower:      MAINT-STAR-KP
mnt-routes:     MAINT-STAR-KP
changed:        20091221
source:         APNIC

当然,朝鲜之所以伟大,那是因为朝鲜至少有两个网段。

朝鲜领导就下命令了,允许朝鲜国民使用以下网段:

210.52.109.0/24 ,这个网段是通过中国联通作为原始IP来源分配给朝鲜。

inetnum:        210.52.109.0 - 210.52.109.255
netname:        KPTC
country:        CN
descr:          Customer of CNC
status:         ASSIGNED NON-PORTABLE
changed:        20040803
mnt-by:         MAINT-CN-ZM28
source:         APNIC

77.94.35.0/24 ,这个网段是SatGate(俄罗斯的一家卫星公司)分配给朝鲜的。这也是朝鲜唯一一个在RIPE注册的地址。

inetnum:        77.94.35.0 - 77.94.35.255
netname:        SATGATE-FILESTREAM
descr:         Korean network
country:        KP
admin-c:        AVA205-RIPE
admin-c:        EVE7-RIPE
tech-c:         PPU4-RIPE
tech-c:         ANM47-RIPE
status:         ASSIGNED PA
mnt-by:         SATGATE-MNT
source:         RIPE

从SatGate公司提供的覆盖图中,我们可以看到提供给朝鲜的服务并不是SatGate公司已知的卫星,竟然还是VIP服务,不泄漏朝鲜隐私,给赞一个!

但是,通过SatGate分配的IP地址,网络服务就要通过IntelSat(国际通信卫星组织)。目前IntelSat有很多卫星可以提供服务,特别是IntelSat 22卫星有更好的覆盖范围。

还有一些其他的卫星不同程度的覆盖了部分朝鲜半岛。

根据DynResearch的数据,似乎朝鲜基本上都是使用天朝联通,卫星只是作为一个后备。

无论怎么说,还是长话短说吧。我重点关注的还是分配给朝鲜的IP地址。

方法

这段时间我一直在做扫描工作。遗憾的是,由于种种原因,没有完全做完。

我所有的扫描工作都是使用的Nmap:

nmap -p1-65535 -sV -O 175.45.176.0/22 -T4> nk.scan &
nmap-p1-65535 -sV -O 175.45.176.0/22 -T4 -Pn > nkall.scan &

从本质上来说,我扫描了所有IP地址的全部端口,这都得益于Nmap的优秀表现。

原始数据

随意浏览扫描日志(笔者已经分享到GitHub)

在每个目录下都有一个filtered.scan的过滤文件,这个文件不重要的。

记住,随意浏览不必去看原始日志。

我注意到的一些东西

其中我最感兴趣的便是,朝鲜自从换领导以后,连接到网络的电脑情况是怎样的呢?

相信这个答案,也是诸位客官十分关注的吧,很不幸的是,我得出的结论是并没有增加多少,但是如果你只是看扫描日志,那么你会吓一跳。

朝鲜基础设施

最开始,朝鲜大部分基础设施都使用的Linux,当你知道朝鲜自己有基于Linux开发Red Star OS时就不会感到惊奇了。事实上,从今年的扫描结果可以看到,朝鲜一些Web服务器在使用的Red Star OS。

Nmap scan report for naenara.com.kp(175.45.176.67)
PORT   STATE SERVICE VERSION
80/tcp  open http    Apache httpd 2.2.15((RedStar 3.0)  DAV/2 PHP/5.3.3mod_ssl/2.2.15 OpenSSL/1.0.0-fips)

在我的最近一次扫描中就包括了3台Red Star OS机器。

有趣的是,早前这个时候,我扫描结果中有几台Red Hat机器替换成了Red Star,估计是朝鲜准备将Red Hat替换成Red Star的节奏。

朝鲜也使用Centos(在最近一次扫描中就有4台,比朝鲜产的Red Star还要多),说了这么多Linux,其实朝鲜也会使用Windows。所以综上所述,朝鲜已经具备了多元化的基础设备环境,而不仅仅是Linux当道。

但是,在我这几年的观察中,他们的基础设备并没有改变多少。虽然如此,但是朝鲜本土运行的网站倒是越来越多了。

Nmap scan report for 175.45.178.129
Not shown: 65523 closed ports
PORT    STATE    SERVICE        VERSION
22/tcp  open     ssh            Cisco SSH 1.25 (protocol 1.99)
23/tcp  open     telnet         Cisco router telnetd
80/tcp  open     http           Cisco IOS http config
443/tcp  open    ssl/http       Cisco IOS httpconfig

朝鲜对于网络安全这块还是不够重视啊。

客户端机器

更加有趣的是那些进入网络的客户机。朝鲜大部分计算机都是处在淘汰边缘的产品,而且一些计算机竟然充当服务器角色进入网络。

APPLES APPLES EVERYWHERE, BUT NOT A BITE TOEAT

2012年3月20日扫描结果中,奇迹发现有一台MacBook Air,乔帮主还是伟大的。这台苹果的网络记录有些不正常。

map scan report for 175.45.177.38
Host is up (0.35s latency).
Not shown: 65521 closed ports
PORT    STATE    SERVICE        VERSION
22/tcp  open     ssh            OpenSSH 5.6 (protocol 2.0)
88/tcp  open     kerberos-sec   Microsoft Windows kerberos-sec
135/tcp filtered msrpc
136/tcp filtered profile
137/tcp filtered netbios-ns
138/tcp filtered netbios-dgm
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
548/tcp open     afp?
593/tcp filtered http-rpc-epmap
3689/tcp open     rendezvous?
4444/tcp filtered krb524
4488/tcp open     unknown
5900/tcp open     vnc            Apple remote desktop vnc
1 service unrecognized despite returningdata. If you know the service/version, please submit the following fingerprintat http://www.insecure.org/cg
i-bin/servicefp-submit.cgi :
SF-Port548-TCP:V=5.50%I=7%D=3/20%Time=4F687DAA%P=x86_64-redhat-linux-gnu%r
SF:(SSLSessionReq,223,"\x01\x03Q\xec\xff\xff\x02\x13\x000\
SF:0>b\x9f\xfb\x1badministrator\xd5s\x20MacBook\x20Air\x9b\xab
SF:\xff\x01p\x01\x8f\rMacBookAir4,1\x05\x06AFP3\.4\x06AFP3\.3\x06AFP3\.2\x
SF:06AFP3\.1\x06AFPX03\x06\tDHCAST128\x04DHX2\x06Recon1\rClient\x20Krb\x20
SF:v2\x03GSS\x0fNo\x20User\x20Authent\x15\+\xc3\xd9\xf9Q\[\xc7\xa1\x02\xa7
SF:D\x88D\xb2\(\x05\x08\x02\xaf-\xb1&\x02\$\x14\x07\xfe\x80\x0
SF:2\xff\xfe\r\x06\x02\$\x14\x07\xfe\x80b\xc5G\xff\xfe\x
SF:03\[f\x02\$\x14\x07\xfde\x87R\xd7!\xa4b\xc5G\xff\xfe\x03\[f\x02\$\x0f
SF:\x04175\.45\.177\.38\x01oafpserver/LKDC:SHA1\.AA6C3E197C870B839764D57E8
SF:9AF4A940C95B060@LKDC:SHA1\.AA6C3E197C870B839764D57E89AF4A940C95B060\x
SF:1dadministrator\xe2\x80\x99s\x20MacBook\x20Air\x80`~\x06\x06\+\x0

我猜测这台苹果机运行了侦查程序,这方面笔者不是太熟悉。

结论:朝鲜有高大上的MacBook,这台机器可能是记者的机器,这估计是最合理的解释了。

虚拟化技术

不说说这个东西,免得你以为朝鲜跟不上世界的脚步。要知道朝鲜已经开始使用VMware了。

Nmap scan report for 175.45.178.134
Not shown: 65534 filtered ports
PORT   STATE SERVICE     VERSION
912/tcp open  vmware-auth VMware Authentication Daemon 1.0(Uses VNC, SOAP)
Warning: OSScan results may be unreliablebecause we could not find at least 1 open and 1 closed port
Device type: general purpose|phone
Running: Microsoft Windows2008|Phone|Vista|7
OS CPE: cpe:/o:microsoft:windows_server_2008::beta3cpe:/o:microsoft:windows cpe:/o:microsoft:windows_vista::-cpe:/o:microsoft:windows_vista::sp1 cpe:/o:microsoft:windows_7
OSdetails: Microsoft Windows Server 2008 Beta 3, Microsoft Windows Phone 7.5,Microsoft Windows Vista SP0 or SP1, Windows Server 2008 SP1, or Windows 7,Microsoft Windows Vista SP2, Windows 7 SP1, or Windows Server 2008

直到今年9月份,我都没有找到任何的证据。VMware对于朝鲜民众来说可能是一个比较新的玩意吧,但是不排除他们在内部网络已经玩很久了。

Say bye

Enjoy the scans, have fun。

参考资料

SatGate coverage map:http://satgate.net/images/new_maps/map_index.jpg
IntelSat coverage maps:http://exnetapps.intelsat.com/flash/coverage-maps/index.html

扫描结果:https://github.com/nknetobserver/nknetobserver.github.io/tree/master/scans/

[参考来源作者博客,译/实习编辑鸢尾,转载请注明来自Freebuf黑客与极客(FreeBuf.COM)]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21445874(PV) 页面执行时间:120.923(MS)
  • xml
  • 网站地图