图片:Mark Rademaker,来自 Shutterstock。
一项新研究发现,自2022年2月以来,乌克兰近五分之一的互联网空间已被俄罗斯控制或出售给互联网地址经纪人。分析表明,乌克兰大量互联网地址空间目前掌握在暗藏于美国一些最大互联网服务提供商(ISP)的代理和匿名服务手中。
这份报告探讨了俄罗斯入侵如何影响乌克兰国内互联网协议第四版(IPv4) 地址的供应,并得出了上述结论。Kentik是一家专门测量互联网网络性能的公司,其研究人员发现,尽管自 2022 年战争爆发以来,乌克兰大多数互联网服务提供商 (ISP) 的基础设施并未发生太大变化,但其他一些互联网服务提供商却不得不出售大量宝贵的 IPv4 地址空间,以维持运营。
例如,Kentik 发现,乌克兰现有的互联网服务提供商Ukrtelecom目前仅路由了战争开始时该公司控制的 IPv4 地址范围的 29%。尽管之前的大部分 IP 地址空间仍处于闲置状态,但 Ukrtelecom 告诉 Kentik 的Doug Madory,他们被迫出售许多地址块,“以确保财务稳定并继续提供基本服务”。
Ukrtelecom 告诉 Madory:“出租部分 IPv4 资源使我们能够缓解自全面入侵以来所面临的一些特殊挑战。”
Madory 发现,之前分配给 Ukrtelecom 的大部分 IPv4 空间现在分散给了全球 100 多家提供商,尤其是三家大型美国 ISP——亚马逊(AS16509)、 AT&T (AS7018) 和Cogent (AS174)。
另一家乌克兰互联网提供商LVS (AS43310) 在 2022 年在全国范围内路由了约 6,000 个 IPv4 地址。Kentik 了解到,到 2022 年 11 月,这些地址空间的大部分已被分配到十几个不同的位置,其中大部分已在 AT&T 公布。
乌克兰提供商 LVS (AS43310) 路由的 IP 地址随时间变化显示,其中很大一部分由 AT&T (AS7018) 路由。图片:Kentik。
乌克兰互联网服务提供商TVCOM的情况也类似,目前其路由的 IPv4 地址比战争开始时减少了近 15,000 个。Madory 表示,这些地址大部分被分散到了东欧以外的其他 37 个网络,包括亚马逊、AT&T 和微软。
乌克兰互联网服务提供商Trinity (AS43554) 在 2022 年 3 月初马里乌波尔血腥围城战期间下线,但其地址空间最终出现在全球 50 多个不同的网络中。Madory 发现,Trinity 的 1000 多个 IPv4 地址突然出现在 AT&T 的网络上。
为什么所有这些以前的乌克兰 IP 地址都被 AT&T 这样的美国网络公司路由了?据追踪 VPN 和代理服务的公司spur.us称,肯蒂克识别出的几乎所有地址范围现在都映射到了商业代理服务,这些服务允许用户匿名通过他人的计算机路由其互联网流量。
从网站的角度来看,代理网络用户的流量似乎源自租用的IP地址,而不是代理服务客户。这些服务可用于多种商业用途,例如价格比较、销售情报、 网络爬虫和内容抓取机器人。然而,代理服务也被大量滥用于隐藏网络犯罪活动,因为它们使得追踪恶意流量的原始来源变得困难。
IPv4 地址段一直需求旺盛,这意味着它们也相当有价值。现在有很多公司愿意付费给互联网服务提供商 (ISP),让他们出租自己不需要或未使用的 IPv4 地址空间。Madory 表示,这些 IPv4 经纪人每月会支付 100 至 500 美元来租用 256 个 IPv4 地址块,而最愿意支付这些租金的通常是代理和 VPN 提供商。
对目前通过 AT&T 路由的所有互联网地址块进行粗略审查(如互联网骨干网提供商Hurricane Electric维护的公共记录所示),发现除美国之外,还有很多国家国旗,包括源自匈牙利、立陶宛、摩尔多瓦、毛里求斯、巴勒斯坦、塞舌尔、斯洛文尼亚和乌克兰的网络。
AT&T 的 IPv4 地址空间似乎正在路由大量代理流量,其中包括大量直到最近才由乌克兰的 ISP 路由的 IP 地址范围。
当被问及代理服务通过 AT&T 路由外国地址块的现象明显增多时,这家电信巨头表示,它最近修改了针对非 AT&T 所有和管理的网络块发起路由的政策。这项新政策在AT&T 2025 年 2 月更新的服务条款中进行了详细说明,规定这些客户在 2025 年 9 月 1 日之前可以从自己的自治系统编号 (ASN) 发起自己的 IP 空间,自治系统编号是分配给每个 ISP 的唯一编号(AT&T 的编号为 AS7018)。
AT&T 发言人在一封电子邮件回复中表示:“为了确保我们的客户获得最优质的服务,我们于 2025 年 2 月更改了专用互联网的条款。我们不再允许使用我们未提供的 IP 地址的静态路由。我们一直在识别并通知受影响的客户,他们有 90 天的时间使用自己的自治系统编号过渡到边界网关协议 (BGP) 路由。”
讽刺的是,乌克兰IP地址空间与代理提供商的混合使用,导致许多此类地址被用于针对乌克兰和其他俄罗斯敌人的网络攻击。本月早些时候,欧盟制裁了斯塔克工业解决方案公司 (Stark Industries Solutions Inc.) ,这家互联网服务提供商在俄罗斯入侵前两周浮出水面,并迅速成为俄罗斯政府支持的黑客组织大规模DDoS攻击和鱼叉式网络钓鱼攻击的源头。深入研究斯塔克工业解决方案公司庞大的地址空间后发现,其中一些地址来自乌克兰的互联网服务提供商,而大部分地址则连接到俄罗斯的代理和匿名服务。
据 Spur 称,代理服务 IPRoyal 目前受益于 Kentik 报告中提到的几家乌克兰 ISP 的 IP 地址封锁。用户可以指定要通过代理访问流量的城市和国家/地区来选择代理。图片来源:趋势科技。
Spur 首席技术官Riley Kilmer表示,AT&T 的政策变化可能会迫使许多代理服务迁移到政策不那么严格的其他美国提供商。
“AT&T 似乎是第一家真正采取行动的大型互联网服务提供商,”基尔默说。“我们追踪了几家明确出售 AT&T IP 地址的服务,看看这些服务在 9 月份会如何发展,将会非常有趣。”
不过,基尔默表示,仍有几家其他大型美国互联网服务提供商继续为代理服务提供便利,允许它们使用自己的 IP 地址,并将其托管在看似住宅用户的 IP 地址范围内。例如,肯蒂克的报告指出,一些以前的乌克兰 IP 地址范围显示为由位于华盛顿特区的一级互联网骨干网服务提供商Cogent Communications (AS174) 路由的代理服务。
基尔默表示,Cogent 已经成为代理服务的一个有吸引力的大本营,因为让 Cogent 路由地址块相对容易。
“平心而论,他们确实传输了大量流量,”基尔默谈到Cogent时说道。“但很多代理服务器显示为Cogent是有原因的:因为把某些东西路由到那里非常容易。”
Cogent 拒绝对 Kentik 的调查结果发表评论的请求。
原文: https://krebsonsecurity.com/2025/06/proxy-services-feast-on-ukraines-ip-address-exodus/