疑团重重：美国防部结束IP地址外部管理试点计划

编者按：美国防部近日发布技术公告称，其正在恢复对1.75亿个IP地址的控制，并将流量引导至自身服务器。

美国防部表示，将大量互联网IP地址交由外部公司管理是由其所属国防数字服务机构（DDS）创建的一项试点计划，该计划旨在检测未知漏洞并防止未经授权的国防部IP地址空间使用；该试点计划已经结束，相关IP地址现在由美国网络司令部下辖的国防部信息网络（DODIN）监督；试点计划后，国防部IPV4地址将转向传统操作和成熟网络安全流程，从而保持整个国防部信息网络（DODIN）的一致性。美国防部未说明该试点计划具体内容以及为何现在结束该计划，但表示选择此前低调处理该计划的原因是便于观察网络流量，从而能够识别潜在的漏洞并评估和减轻潜在的网络威胁。

网络监控公司Kentik的互联网分析专家分析称，美国防部的试点计划有可能是将流经互联网的信息重新路由到军事网络进行检查和分析，从而发现对手网络中的弱点或检测对手如何监视网络的证据，以帮助建立更好的防御；虽然试点计划已结束，但国防部只是简单地改变了IP地址自治域编号，相关流量仍然指向弗吉尼亚州阿什本的一个计算机路由器，美军此举可能是设下了“世界上最大的蜜罐”。

奇安网情局编译有关情况，供读者参考。

作为网络安全试点计划的一部分，6%的互联网控制权被移交给了美国佛罗里达州一家公司。现在，美国防部已经收回了所有1.75亿个IP地址空间。

美国防部的1月份（在唐纳德·特朗普离任前几分钟）将大量互联网的管理委托给佛罗里达州一家公司的计划就像其开始那样神秘地结束了，国防部重新控制1.75亿个IP地址。

该计划受到了审查，既因其始于具有政治意义联邦权力更迭的不寻常时机，也因其庞大的规模。在鼎盛时期，Global Resource Systems公司控制着被称为IPv4的Internet部分的6%。尽管在公开市场上可能价值数十亿美元，这些IP地址几十年来一直处于五角大楼的控制之下，但一直未被使用。

更神秘的是，公司注册记录显示，当时的Global Resource Systems只有几个月的历史，成立于2020年9月，没有公开报道的联邦合同，没有明显的面向公众的网站，在它列为位于佛罗里达州普兰泰申（Plantation）物理地址的共享办公空间也没有任何标志。该公司也没有回应置评请求，而且美国防部直到《华盛顿邮报》在4月对此进行报道后才宣布该计划或公开承认其存在。

现在该计划结束了。

美国防部9月7日发布了一项技术公告——主要受到世界各地的网络管理员的注意——称它正在恢复对1.75亿个IP地址的控制，并将流量引导至自己的服务器。

美国防部9月10日表示，该试点计划已经结束，此前国防部曾将其定性为旨在检测未指明“漏洞”和“防止未经授权使用国防部IP地址空间”的网络安全措施。国防部表示，互联网的一部分曾经由Global Resource Systems管理，现在则由美国网络司令部下辖的国防部信息网络（DODIN）监督。

这些IP地址从未被出售或出租给该公司，只是为了试点计划而置于其控制之下，该计划由国防部精英部门国防数字服务（DDS）创建。该部门直接向国防部长报告，并将自己标榜为“由电脑迷组成的特殊武器与战术部队团队”，为军队解决紧急问题并开展实验工作。

美国防部发言人发表声明称，“DDS制定了一项启动网络安全试点的计划，然后将该计划的控制权移交给国防部合作伙伴。在DDS试点之后，将国防部互联网协议（IP）广告转移到国防部的传统操作和成熟的网络安全流程，保持了整个国防部信息网络（DODIN）的一致性。这实现了对IP空间的主动管理，并确保国防部拥有维持和提高国防部信息网络（DODIN）弹性所需的操作机动空间。”

但美国防部的声明几乎没有说明该试点计划究竟在做什么或为什么现在已经结束。不过，很明显，尽管它更正式地处于五角大楼的控制之下，但它的任务已经扩展了。

关于启动该试点计划的不寻常时间（在美国总统就职日11时57分开始移交IP地址的控制权，也就是拜登总统上任前3分钟），该发言人补充称，“启动的决定和DDS试点工作与政府更迭无关。这项工作于2020年秋季计划并启动。当所需基础设施到位时，它于2021年1月中旬启动。鉴此机会，保持低调也是可取的，以便观察当前状态的流量，使我们能够识别潜在的漏洞并评估和减轻潜在的网络威胁。”

Global Resource Systems公司未回复置评请求。

该计划的不寻常性已被网络世界的数人追踪到，其中包括网络监控公司Kentik的互联网分析主管道格·马多里。

4月，前美国空军军官道格·马多里开始相信该计划旨在收集情报。通过宣布控制如此大的互联网部分（尤其是美国防部已经封存多年的部分），有可能将流经互联网的信息重新路由到军事网络进行检查和分析。道格·马多里表示，日常网络错误会让此类操作卓有成果。他表示，“有很多网络会在不经意间泄露漏洞。我敢肯定，他们在过去几个月里一直在获取这种噪音。”

道格·马多里补充称，这种策略可以让网络间谍发现对手网络中的弱点，或者可能检测到对手如何监视你自身网络的证据，以帮助建立更好的防御。马多里分享了一个更诱人的事实：尽管美国防部正式恢复控制，他对曾经由Global Resource Systems控制的Internet地址流量的分析仍然指向与他们一年中大部分时间相同的地方，即弗吉尼亚州阿什本的一个计算机路由器，一个政府机构和私营公司互联网连接的主要枢纽。

道格·马多里发现，1月20日，注册为GRS-DoD的第8003号自治域（AS8003）开始在其他大型美国防部IPv4地址段中宣告启用11.0.0.0/8；UTC时间9月7日17时05分，除一个前缀之外的所有第8003号自治域（AS8003）之前宣告启用的765个前缀都转移到一个新来源，即属于美国国防部的第749号自治域（AS749）；尽管有了新的起源（AS749），这些前缀仍然专门通过Hurricane Electric（AS6939）路由，并且跟踪路由到弗吉尼亚州阿什本（72.52.92.226, 100ge5-1.core2.ash1.he. net），就像以前AS8003作为起源时那样。马多里认为，美国防部此项活动可能是“世界上最大的蜜罐”，只是简单地将BGP中的AS8003换成了AS749，而未做太多其他改变。

声明：本文来自奇安网情局，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。