2021年1月下旬,互联网全局 BGP 路由表中,注册名为GRS-DoD的第8003号自治域宣告一个属于美国国防部的巨大并且从未发布过的IPv4地址块。
而这个巨大的地址块正是2019年美国国防部公开出售提案,但最终并未出售的IPv4地址块。这些地址所属自治域AS8003已成为了Internet历史上最大的IPv4空间,约占目前整个IPv4全局路由表的5.7%。
如此巨量地址突然降临无疑将给互联网带来新的安全风险。首当其冲的受害人是那些假定这些IP地址永远不可能出现,而将其设为内网地址的机构。
如果存在配置漏洞,会导致本应属于这些机构内网的数据包,被发送至美国国防部控制的GRS网络。那么,AS8003是谁?美国国防部为什么要这么做?
第8003号自治域之谜
文丨道格·马多里 (Doug Madory)
2021年1月20日,Internet全局路由表中出现了一个巨大的谜团。一个十多年来没有任何消息的实体突然宣告了属于美国国防部(U.S. Department of Defense)以前没有发布过的大量的IPv4地址空间。注册名为GRS-DoD的第8003号自治域(简称AS8003)开始宣告属于美国国防部的IPv4地址空间11.0.0.0/8。
根据俄勒冈大学Routeviews项目提供的数据,AS8003宣告到互联网的最早BGP消息之一是:
上面这条消息的时间戳是世界标准时间2021年1月20日16:57(美国东部时间上午11:57),也即乔·拜登宣誓就职美国总统几分钟之后,以及唐纳德·特朗普政府法定结束时刻——美国东部时间当日正午之前几分钟。
随之而来的疑问包括:AS8003是谁?为什么他们要宣告属于美国国防部的如此大量的IPv4空间?也许最有趣的是,为什么在特朗普政府执政的最后三分钟内,它就活跃起来了?
到1月底,AS8003已经宣告了大约5600万个IPv4地址,如此海量的地址空间使其一跃成为IPv4全球路由表中第六大自治域。到4月中旬,AS8003将其宣告的以前未使用的国防部地址数量大幅增加到1.75亿个。
随着这一增长,AS8003成为了Internet历史上最大的IPv4空间。相比之下,AS8003现在宣告的IPv4地址数量比目前全球第二多的中国电信的地址还多6100万个,比美国最大的家庭互联网提供商康卡斯特(Comcast)多1亿多个。
事实上,截至2021年4月20日,AS8003宣告了如此多的IPv4空间,以致于目前整个IPv4全局路由表的5.7%是由AS8003宣告的。换句话说,目前每20个IPv4地址中就有一个地址是由2021年初路由表中还不存在的实体宣告的。
01 有价值的资产
几十年前,美国国防部被配给了大量IPv4地址——毕竟,互联网是作为国防部的一个项目来设想的。多年来,只有一部分地址空间被利用过(即美国国防部在互联网上宣告的)。
随着互联网的发展,可用的IPv4地址资源逐渐减少。IPv4地址交易私人市场开始出现,IPv4地址不再只是一个简单的路由器的设置参数,而是一种日益珍贵的商品。
就在其他国家开始购买IPv4地址将其作为一项战略投资的时候,美国国防部却占据着大量未使用的地址空间。2019年,美国国会议员试图通过提议在2020年国防授权法案中增加以下条款,强制出售国防部的所有IPv4地址空间:
2020年国防授权法案第1088条要求国防部长在未来10年内以公平市价出售国防部所有的IPv4地址。地址销售的收益在支付销售交易费用后,将存入财政部普通基金。
根据国会预算办公室的估算,如果有一个/8地址块(1670万个地址)出售,扣除交易费后将获得1亿美元的收入。但最终,提案终止。该条款已从签署成为法律的最终法案中剔除了——国防部已在2020年获得资金支持,而不必出售这一宝贵的互联网资源了。
02 AS8003在做什么?
上个月,NANOG ListServer的精明撰稿人指出了一个看似空壳的公司公布大量国防部地址空间的怪异之处。尽管排除了BGP被劫持的可能性,但其确切目的仍不清楚。直到4月23日,国防部向《华盛顿邮报》的记者提供了关于这一不同寻常的互联网情况的解释。他们的声明说:
国防数字服务(DDS)授权了一项试点工作,使用边界网关协议(BGP)宣告国防部IP地址空间。这个试点将评估和防止未经授权使用的国防部IP地址空间的现状。此外,该试点工作还可以发现潜在漏洞。这是国防部致力于不断改进其网络态势和防御能力而做出的众多努力之一,以应对持续的威胁。我们正在与整个国防部合作,以确保潜在的漏洞得到缓解。
我将其解释为此工作的目标是双重的。首先,宣告该地址空间以防止任何可能的抢注者;其次,收集大量的互联网背景流量以获取威胁情报。
关于第一点,存在大量欺诈性BGP路由。正如我多年来所记录的那样,各种类型的不良行为者使用未路由的地址空间绕过阻止列表,以发送垃圾邮件和其他类型的恶意流量。
第二,在宣告大范围的IPv4地址空间时,会产生大量的背景噪音。最近的一个例子是CloudFlare(一家CDN加速服务商)在2018年宣告了1.1.1.0/24和1.0.0.0/24。
数十年来,Internet路由都是基于一个普遍的假设,即Internet不在路由表上路由1.1.1.0/24和1.0.0.0/24这样的前缀(也许是因为它们是网络教科书中的典型例子)。结果根据他们不久后更新的博客文章,Cloudflare在他们的接口上收到了“约10Gbps的未经请求的后台流量”。
而这只是对应于512个IPv4地址!当然,那些地址非常特殊,但是有理由相信,1.75亿个IPv4地址将吸引更多巨大的流量。因为会有众多设备和网络由于错误地假设所有国防部地址空间将永远不会出现在Internet上而进行了错误的配置。
03 结论
虽然美国国防部的声明回答了一些问题,但许多问题仍然是谜。为什么国防部不是自己宣告这个地址空间,而是指示一个外部实体使用作为一个长期休眠的电子邮件营销公司的自治域?为什么此事在上一届政府的最后时刻变成现实?
我们可能不会很快得到所有答案,但我们可以希望国防部利用从大量背景流量中收集到的威胁情报来造福所有人。也许他们可以来参加NANOG会议,并向大家介绍所收集的大量错误流量的有关信息。
*全球前23个自治域及所在国
来源:https://www.kentik.com/blog/the-mystery-of-as8003/
作者:道格·马多里 (Doug Madory)
翻译:张登科
整理:郑艺龙
声明:本文来自中国教育网络,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。