代理服务蚕食乌克兰IP地址外流

2025年6月5日
图片来源：Mark Rademaker/Shutterstock

最新研究发现，自2022年2月以来，乌克兰近五分之一的互联网地址空间已被俄罗斯控制或出售给IP地址经纪人。分析表明，大量乌克兰IP地址现由隐蔽的代理和匿名服务掌控，这些服务嵌套在美国多家大型互联网服务提供商（ISP）中。

这份报告研究了俄罗斯入侵如何影响乌克兰的IPv4地址供应。网络性能监测公司Kentik的研究人员发现，虽然乌克兰多数ISP自战争爆发以来基础设施变化不大，但部分运营商为维持运营被迫出售大量宝贵的IPv4地址空间。

例如，乌克兰主导ISP Ukrtelecom目前仅路由战前控制地址范围的29%。尽管许多旧IP空间处于休眠状态，但该公司向Kentik的Doug Madory表示，他们被迫出售地址块以"确保财务稳定并继续提供基本服务"。

Madory发现，原属Ukrtelecom的IPv4空间现分散至全球100多家供应商，尤其集中在三家美国大型ISP：亚马逊（AS16509）、AT&T（AS7018）和Cogent（AS174）。

另一家乌克兰供应商LVS（AS43310）在2022年路由约6000个IPv4地址。到2022年11月，这些地址大多被分配给十多个不同位置，其中大部分由AT&T宣布路由。

乌克兰ISP Trinity（AS43554）在2022年3月初马里乌波尔围城战中下线，但其地址空间最终出现在全球50多个不同网络中。Madory发现超过1000个Trinity的IPv4地址突然出现在AT&T网络上。

为何这些原属乌克兰的IP地址现在由AT&T等美国网络路由？追踪VPN和代理服务的公司spur.us表示，Kentik识别出的地址范围几乎都映射到商业代理服务，这些服务允许客户通过他人计算机匿名路由流量。

从网站角度看，代理网络用户的流量似乎来自租用的IP地址而非实际用户。这些服务可用于价格比较、销售情报等商业用途，但也常被滥用于隐藏网络犯罪活动，因为难以追踪恶意流量的原始来源。

IPv4地址需求旺盛，价值不菲。多家公司会付费租赁ISP闲置的IPv4空间。Madory称，IPv4经纪人每月支付100-500美元租赁256个地址块，而最常租用的客户就是代理和VPN提供商。

粗略查看通过AT&T路由的所有地址块（根据Hurricane Electric维护的公共记录）显示，除美国外还有大量来自匈牙利、立陶宛、摩尔多瓦等国的网络。AT&T的IPv4空间似乎路由大量代理流量，包括许多近期还由乌克兰ISP路由的IP范围。

AT&T表示已更改政策，不再允许路由非自有的IP地址块，客户需在2025年9月1日前使用自己的自治系统号（ASN）路由IP空间。

讽刺的是，乌克兰IP空间与代理服务的混合导致许多地址被用于针对乌克兰和俄罗斯其他敌人的网络攻击。本月欧盟制裁了ISP Stark Industries Solutions Inc.，其地址空间部分源自乌克兰ISP，多数连接俄罗斯的代理和匿名服务。

spur首席技术官Riley Kilmer表示，AT&T的政策变化可能迫使许多代理服务迁移至政策更宽松的美国提供商。虽然AT&T是首家采取行动的大型ISP，但其他如Cogent Communications（AS174）仍是代理服务的温床，因其路由地址块相对容易。Cogent拒绝就Kentik的发现置评。