“星链”计划(starlink)是美国太空探索技术公司(SpaceX)推出的通过近地轨道卫星群构建全球高速互联网无线微波接入项目,其本质是天基互联网,是未来互联网发展的另外一种重要形态。

星链计划是全新的网络系统,全部硬件、芯片及协议量身定制,基于目前网空探测技术,《星链网空资产测绘报告》对其网络空间资产进行初步的发现和测绘。基于目前ZoomEye.org提供的全球资产测绘数据,我们可以初步窥见星链计划的全貌。

更重要的是,我们也由此开启了通过主动探测技术对天基互联网进行测绘的初步探索,为后续更加全面的赛博空间测绘打下坚实的基础。

“星链”计划打造天基互联网

“星链”计划(starlink)初衷是为了在全球范围内提供网络服务,尤其是目前互联网没有覆盖到的偏远地区。截止到目前,SpaceX已经累计发射了2000多颗卫星,为全球30多个国家十几万的用户提供服务。

“星链”计划自2015年启动,一直是全球关注的焦点。“星链”作为天基互联网,打破了原有卫星通信的模式,通过在卫星上增加激光交叉链路技术,实现卫星之间的数据路由和转发功能,不再需要频繁的通过地面站进行数据中继,大大缓解了对地面地形环境的依赖。

在性能方面,“星链”目前已经可以达到150-300M bps传输速度,最终目标是要达到1G bps,相当于5G的水平,可满足互联网上的业务需要。

成本控制方面,SpaceX公司通过可回收火箭--猎鹰9号来发射“星链”卫星,一次可以发射60颗卫星,大大降低了卫星发射的成本。

且SpaceX还在研发星际飞船,计划一次发射400颗星链卫星上天,这使短期内低成本部署上万颗卫星成为了可能。

“星链”计划规模及真实意图引发争议

“星链”计划(starlink)收益远赶不上接收器的成本,这种商业运营模式在让人费解的同时,也引发外界对美国发展这一计划真实意图的诸多猜测。

加之在“俄乌冲突”中马斯克频繁表态,称“星链”服务在乌克兰激活,更多终端正在运送之中,乌克兰总统泽连斯基也进行了互动。

这些星链在军事上的应用无疑给各国安全机构带来了无限的想象空间,本报告也会在第六部分通过测绘数据,对其表态进行印证。

抛开各种争议言论不提,从“星链”计划本身的效果来看,肯定是会增强美军的通信水平、全地域全天时侦察能力、空间态势感知能力和天基防御打击能力等。

目前,美陆、空军已分别与太空探索技术公司展开合作,探索利用“星链”卫星开展军事服务的方式。

针对星链计划的军事应用展开,我们也必须提高警惕,做到对“星链”可能对国家安全带来的影响进行深度的研究和分析,收集信息、充分论证、制定防御、防守预案等,做到提前布局,找到应对之法。

测绘方案了解“星链”计划全貌

“星链”系统可以分为4个部分:

01 user segment用户段

属于用户内网环境。“星链”卫星收发器web界面和icon均和无线路由器是一致的,通过APP进行操作。

02 space segment空间段

属于卫星间的网络环境,通过硬件加密的全新的类似p2p的通讯技术进行通信和中继,不使用传统的TCP/IP协议栈。

理论上无法用现有的主动测绘技术(IP+端口)进行探测,而且流量是加密的,只有通过专有的硬件设备来解密,所以也无法通过被动的方式获取相应的资产信息。

03 ground segment地面段

地面关口站位于高带宽互联网交换(IXP)点附近。这些典型的数据中心是互联网服务提供商(ISP)汇聚网络和共享带宽的地方。

“星链”的地面关口站并不直接是互联网出口,而是需要通过光纤接入到附近的PoP点(数据中心,如谷歌IDC、微软IDC等),然后由数据中心提供互联网接入服务。

所以这段网络也不会暴露在互联网上。但是可以通过相关网站查询地面站运营许可情况。

04 internet segment互联网段

“星链”系统直接暴露在互联网上的资产,有对外开放的web服务,如官网、媒体、博客、注册服务、支付服务、快递服务、售后服务、VPN服务、邮件服务、网络设备、DNS服务、文件共享服务、研究工具等。

还有因为未做到安全管理而意外暴露在互联网的生产环境设备、监控设备、办公设备、打印设备、远程管理、监控服务等,还包含为了方便操作而将端口映射到互联网的“星链”终端设备。

这些网络资产,可以通过主动探测的方式,和被动流量解析的方式来进行测绘。

最终测绘方案:

通过主被动的网络空间测绘技术对“星链”系统暴露在互联网上的资产进行测绘,提取重要的目标,如DNS服务、VPN服务、路由设备、网关设备等,对目标进行识别与标注,为后续的分析和研究提供基础素材。

另外也可以通过网络空间测绘,绘制“星链”互联网资产的TOP 10地图,掌握重要节点的路径、AS自治域、地理位置以及资产之间的关联等信息。

此次共收集到486,799个IPv4和域名目标,因IPv6目标数量过于庞大,此次方案未涉及。

“星链”计划网络空间测绘概况

资产总体情况概览:

01 “星链”地面侧资产

共1,583个IP地址。通过hostname判断,这些IP全部是“星链”系统的PoP节点。

大部分分布在美国和巴西,“星链”系统会选择离地面站相近的PoP点作为网络出口,所以可以通过PoP的位置分布推理出地面站的位置分布。

通过starlink官网和其他网站的ground station分布判断,基本符合规律。

02 “星链”互联网侧资产

共有8,067个IP地址。根据聚合统计分析,这些网络资产提供的服务数量174个,设备类型12种,组件数量83个,操作系统8种。

可以看到“星链”的起源地美国的网络资产占了总资产的96.23%,其次是英国、加拿大,剩下的国家涉及到的网络资产都不多。而美国、英国、加拿大恰好是spacex最早一批获得星链互联网服务许可证的国家,符合“星链”计划的发展过程。

  • 从服务类型来看,主要提供了http/https服务、远程访问服务、邮件服务、DNS服务、文件传输服务、数据库服务等。

  • 从设备类型来看,主要分为web应用、远程管理、网络摄像头、网络存储、路由交换、域名服务器、FTP服务器、邮件服务器、数据库等设备。

通过整个方案落实,我们还发现2个终端侧的IP地址,符合终端侧IP不会暴露互联网的预期。这两个IP都位于乌克兰西部的外喀尔巴阡州,印证马斯克已经激活了给乌克兰提供的“星链”服务的相关言论。

“星链”计划中典型资产分析

“星链”地面侧资产:

1、Web应用主要有:“星链”卫星终端接收器健康性监测、“星链”卫星接收器的web界面、远程视频监控软件等。

2、网络摄像头主要有:海康威视网络摄像头、大华网络摄像头、D-Link网络摄像头等。

3、网络存储设备主要有:群晖NAS系列设备、华硕云盘等。

4、路由交换设备主要为:MikroTik 路由器、华硕路由器、cisco路由器等。

5、防护设备主要为:Dell SonicWALL 防火墙、飞塔防火墙等。

6、VPN设备主要为:PPTP VPN、OpenVPN等。

还包括了远程管理、邮件服务器、域名服务器、数据库、NTP服务器等其他种类的网络空间资产。

“星链”互联网侧资产

1、Web应用主要为:“星链”工具(“星链”系统覆盖跟踪器、“星链”发射计划统计、“星链”上网服务监控等);

2、媒体/社交包含:Orbitv全球直播、Xtr.technology、Dropp publisher等。

3、博客有:“隽月星辰”、“Kevin Wang”、Cameron Flannery等。

4、网络存储设备有:群晖NAS等。

还包括网络摄像头、远程管理、邮件服务器、FTP服务器、域名服务器、数据库、路由交换设备等等网络空间资产。

Starlink-星链计划全面测绘路阻且长

《星链网空资产测绘报告》是天基互联网测绘的第一步,要深入了解星链计划,对其具体的资产分布、风险情况及优劣势等进行全面的评估,并进行针对性布局,提前做好各种预案还需要我们深入进行分析,从现有资产监控开始,进一步了解资产间的关系、资产的动态变化、相关漏洞的研究及情报的分析与聚合。

知道创宇对于任何有可能影响到国家网络安全的新技术、新应用,都保持着一贯的敏感和重视,通过技术手段,进行了解、掌握最终实现监测与控制,是作为网络安全企业的初衷与责任,《星链网空资产测绘报告》即是最好的例证。

声明:本文来自知道创宇,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。