近日,据《华盛顿邮报》报道,在唐纳德·特朗普总统离开白宫之前,美国国防部偷偷将1.75亿个休眠IP地址的控制权转移给了一家名不见经传的佛罗里达州公司,这使互联网专家感到困惑和不安。
国防部声称仍然拥有这些地址,但它正在“试点”项目中使用第三方公司进行安全研究。
比中国电信和Comcast还大
“在特朗普离任前几分钟,五角大楼的数千万个休眠IP地址冒出了水面”,这是《华盛顿邮报》周六的一篇文章的标题。乔·拜登宣誓就职总统前三分钟,一家名为全球资源系统的公司(Global Resource Systems LLC)突然偷偷向世界计算机网络宣布了一个惊人的消息:它现在正在管理庞大的未使用的互联网(IPv4地址池),几十年来,该地址池一直由美国军方拥有。
据报道,全球资源系统公司宣布五角大楼拥有的IP地址数量到1月底增加到5600万,到4月增加到1.75亿,使其超过中国电信和Comcast,成为IPv4全球路由表中最大的IP地址发布者。
邮报文章说:“传言很多。例如,在特朗普离开办公室时,国防部是否有人出售了军方IP地址中的一部分?五角大楼最终是否根据撤出了军方一直坐拥的数十亿美元的IP地址空间的要求而采取行动?这些地址已经尘封了几十年。”
DDS葫芦里卖得什么药?
邮报说,它在周五得到了国防部的答复,来自五角大楼的一个精锐部队,被称为国防数字服务部(DDS)。
DDS的负责人布雷特·戈德斯坦(Brett Goldstein)在一份声明中说,他的部门已授权“试点”并公开五角大楼拥有的IP空间。
戈德斯坦说:“该试点项目将评估并防止未经授权使用国防部的IP地址空间。此外,该试点项目还可以识别潜在的漏洞。”
戈德斯坦称:“该项目是国防部的许多努力之一,旨在不断改进我们的网络状况和防御能力,以应对高级持续威胁。我们正在与整个国防部合作,以确保减轻潜在的漏洞。”
已有6年历史的DDS由82名工程师、数据科学家和计算机科学家组成,他们致力于广为宣传的“hack Pentagon计划”以及解决其他各种项目所面临的最棘手的技术问题。在国防部2020年10月的一篇文章中,戈德斯坦称该部门为“特派书呆子小组”。
国防部没有透露该部门与全球资源系统公司的项目的具体目标是什么,五角大楼官员拒绝透露为什么戈德斯坦的部门使用一家鲜为人知的佛罗里达公司来进行试点工作,而不是国防部本身通过BGP(边界网关协议)消息“宣布”地址,后者是一种更为常规的方法。
不过,政府的解释引起了网络安全公司Kentik的互联网分析主管Doug Madory的兴趣。
Madory在星期六的博客中写道:“我认为这意味着这项工作的目标是双重的。首先,宣布这个地址空间以吓跑任何可能的抢注者,其次,收集大量的后台互联网通信量以用于威胁情报。”
休眠IP地址就像一个黑洞
安全专家马多里指出,先前处于休眠状态的IP地址的“复活”可能会导致路由问题。在2018年,由于Cloudflare服务和AT&T网关使用了相同的IP地址1.1.1.1,导致AT&T家庭互联网客户无法使用Cloudflare的新DNS服务。
几十年来,互联网路由一直以一个广泛的假设为前提,即AS不在互联网上路由这些前缀(可能是因为它们是网络教科书中的典型示例)。DNS解析器(1.1.1.1)启动后不久,Cloudflare在其界面上收到了“大约10Gbps的未经请求的背景流量”。
那只是512个IPv4地址!当然,这些地址非常特殊,但是有理由推论,1.75亿个IPv4地址将从错误配置的设备和网络(误认为所有此国防部地址空间永远不会出现)中吸引更多的流量。
参考资料:
- https://www.washingtonpost.com/technology/2021/04/24/pentagon-internet-address-mystery/
- https://arstechnica.com/information-technology/2021/04/pentagon-explains-odd-transfer-of-175-million-ip-addresses-to-obscure-company/
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】