Мій блог

Інші речі

Друге Інтернет-посилання для Північної Кореї, воно вказує, де ?

Ця стаття вперше була написана 3 жовтня 2017 року
Останнє оновлення 4 жовтня 2017 р

друге

1 жовтня 2017 року інформаційний сайт, що спеціалізується на Північна Корея, 38 North, опублікував чудову статтю про друге з'єднання Інтернет з Північної Кореї. Де ми можемо перевірити такий вид інформації ?

Стаття є гарним прикладомOSINT (або від ROSO ?), спираючись лише на загальнодоступні джерела, та на аналіз експертів з досліджень Dyn (колишній Ренесі, який опублікував власну статтю, настійно рекомендував прочитати). Але, на тему Північна Корея, пропаганда працює на повній швидкості, і багато неправдивої інформації поширюється, тим більше, що марення диктатури Росії Кім Чен Ин не дозволяє перевірку на місці. Якщо фейкові новини не є новими (брехня стара як мова), досить технічний характер інформації ("Північна Корея зараз має друге Інтернет-посилання через Росія ») Ускладнює перевірки для неспеціалізованих людей.

Тож стаття 38 Півночі говорить про те, що це оператор Інтернет Зараз російська мова пов'язує CPDM, який раніше був пов'язаний лише Китай. З огляду на особливий характер Північної Кореї, цей зв’язок не є чисто діловою справою, і, можливо, він потребує схвалення Москва. Як це перевірити ?

Тому що в цьому вся сутьOSINT: мета полягає не лише в тому, щоб заощадити час для шпигунів (ціною певної втрати гламуру: читання російськомовної Вікіпедії менш вражаюче, ніж введення сховища в Кремль, після спокуси красивого російського шпигуна). Політичний інтерес OSINT полягає у дозволі незалежних перевірок: якщо ми не впевнені в інформації, ми можемо повторити частину роботи, щоб перевірити її.

Отже, насамперед, зберіть трохи технічної інформації. Що таке IP-адреси від (єдиного) північнокорейського оператора Інтернету? Ми можемо дізнатися це з сервери імен їх TLD, .kp:

Трохи хто є перевіряти:

Добре, ми знайшли Star JV, корейського оператора. Який його номерЯК ? Існує безліч способів його знайти, починаючи з нуля APNIC але, звикши DNS, Я використовую службу DNS від RouteViews:

Він повідомляє нам, що префікс 175.45.176.0/24 оголошенийЯК 131279 (пам’ятайте, що шляхи AS читаються справа наліво). Друга AS (пам’ятайте, як AS-шляхи читаються справа наліво), 4837, від звичайного китайського постачальника China Unicom.

У статті 38 на півночі говориться, що це змінилося в неділю 1 жовтня. Дійсно, чудова послуга RIPE stat, коли її запитують про маршрутизацію 175.45.176.0/24, підтверджує значну активність:

(Ви також можете переглянути оригінальний сайт.) Ця діяльність вказує на те, що зміни відбулися, а потім поширилися BGP в Інтернеті, спричиняючи нові зміни. (Таблиці BGP є загальнодоступними, Інтернет дуже відкритий. Вправа: знайдіть інші префікси, оголошені Star JV.)

Отже, про що було новиною BGP цієї неділі вранці? Ми звернемося до сервісу RouteViews, який архівує оголошення BGP, а потім робить їх доступними для широкої публіки. Файли мають формат MRT (RFC 6396), який аналізується за допомогою програми bgpdump. І ми знаємо приблизний час оголошення (у статті 38 на північ та завдяки RIPE stat), тому можемо завантажити потрібний файл (він змінюється кожні чверть години, дивіться на назву файлу у форматі РРРРММДД):

Завантажуємо оновлення.20171001.0900.txt у редактор, шукаємо "131279" (AS Star JV) і знаходимо потрібне оголошення:

Тут оголошення BGP від ​​131279 пересилається до AS 20485, нового експедитор від Star JV. Хто він ?

Тому це справді російський "ТрансТелеком".

Зараз цей російський оператор насправді використовується? Правда, він отримує повідомлення від BGP від ​​північнокорейців і передає їх (саме так їх отримують RouteViews). Але, як кажуть оператори мережі, "Площина даних не завжди слідує за площиною управління », Що означає, що пакунки не обов'язково проходити шлях АС, який передав оголошення. Давайте протестуємо від TransTelecom, завдяки зондам RIPE Atlas, використовуючи програму atlas-traceroute. Ми просимо три зонди в АС «ТрансТелеком» відвідати 175.45.176.15:

(Ви також можете подивитися графічне зображення цього виміру.) І ми бачимо, що навіть від TransTelecom, постачальника послуг зв’язку Star JV, трафік не надсилається через міст дружби, але оператору з США, 3 рівень, який потім переадресує China Unicom. (Вправа: зробіть те ж саме з іншими АС, як-от 18106, щоб побачити, що вони надсилають у «ТрансТелеком» - вони отримали повідомлення BGP, - але цей не передається безпосередньо корейцям.) Отже, посилання всіх дев'яти не є використовується на даний момент. Однак ситуація регулярно змінюється. 4 жовтня було оголошено лише один префікс через TransTelecom, 175.45.178.0/24, і він був направлений безпосередньо до СП Star:

[Графічна версія доступна в Інтернеті. Зверніть увагу на використання протоколу ICMP, UDP бути десь застряглим.] Якщо ваш Інтернет-провайдер отримує повідомлення через ТрансТелеком, Ви також можете зробити a трасовий маршрут з вашого дому (тут з Безкоштовно) (188.43.225.153 - ТрансТелеком):

Можливо, посилання на ТрансТелеком - це резервне посилання, яке планується вирішити з можливими китайськими санкціями? А може, нове посилання лише налаштовується, і ситуація не зовсім стабільна ?

Зауважте, що, хоча таблиці та оголошення BGP є загальнодоступними (як і використання зондів RIPE Atlas), пропускну здатність набагато складніше дізнатись, і стверджується, що нове посилання представлятиме "60% північної пропускної спроможності Північної Кореї" ( у цій статті) - це, мабуть, чиста спекуляція.

Дякую Dyn за подальші пояснення.

PDF-версія цієї сторінки у форматі PDF (але ви також можете друкувати з веб-переглядача, для цього є таблиця стилів)

Джерело XML цієї сторінки (ця сторінка поширюється на умовах ліцензії GFDL)