代理服务蚕食乌克兰IP地址大迁移

2025年6月5日
16条评论

一项新研究发现，自2022年2月以来，乌克兰近五分之一的互联网空间已被俄罗斯控制或售予互联网地址经纪人。分析表明，大量乌克兰互联网地址空间现落入神秘的代理和匿名服务手中，这些服务嵌套在美国一些最大的互联网服务提供商（ISP）中。

这些发现来自一份报告，该报告研究了俄罗斯入侵如何影响乌克兰的互联网协议版本4（IPv4）地址国内供应。互联网网络性能测量公司Kentik的研究人员发现，虽然自2022年战争开始以来，乌克兰大多数ISP的基础设施没有太大变化，但其他ISP为了维持运营，不得不出售大量宝贵的IPv4地址空间。

例如，Kentik发现，乌克兰现任ISP Ukrtelecom现在仅路由该公司在战争初期控制的IPv4地址范围的29%。尽管大部分以前的IP空间仍处于休眠状态，但Ukrtelecom告诉Kentik的Doug Madory，他们被迫出售许多地址块，“以确保财务稳定并继续提供基本服务”。

Ukrtelecom告诉Madory：“租出部分IPv4资源使我们能够缓解自全面入侵开始以来我们面临的一些非凡挑战。”

Madory发现，先前分配给Ukrtelecom的大部分IPv4空间现在分散到全球100多家提供商，尤其是在三家美国大型ISP——亚马逊（AS16509）、AT&T（AS7018）和Cogent（AS174）。

另一家乌克兰互联网提供商LVS（AS43310）在2022年在全国路由约6,000个IPv4地址。Kentik获悉，到2022年11月，大部分该地址空间已分配给十多个不同地点，其中大部分在AT&T宣布。

乌克兰ISP TVCOM也是如此，目前路由的IPv4地址比战争开始时少了近15,000个。Madory表示，这些地址大部分已分散到东欧以外的37个其他网络，包括亚马逊、AT&T和微软。

乌克兰ISP Trinity（AS43554）在2022年3月初马里乌波尔血腥围困期间下线，但其地址空间最终开始出现在全球50多个不同网络中。Madory发现，超过1,000个Trinity的IPv4地址突然出现在AT&T的网络上。

为什么所有这些前乌克兰IP地址由像AT&T这样的美国网络路由？根据跟踪VPN和代理服务的公司spur.us，Kentik确定的几乎所有地址范围现在映射到商业代理服务，这些服务允许客户通过他人的计算机匿名路由其互联网流量。

从网站的角度来看，代理网络用户的流量似乎来自租用的IP地址，而不是代理服务客户。这些服务可用于多种商业目的，例如价格比较、销售情报、网络爬虫和内容抓取机器人。然而，代理服务也被大量滥用于隐藏网络犯罪活动，因为它们可能使追踪恶意流量到其原始来源变得困难。

IPv4地址范围始终需求旺盛，这意味着它们也相当有价值。现在有多家公司愿意支付ISP租出其不需要或未使用的IPv4地址空间。Madory表示，这些IPv4经纪人每月支付100-500美元租用256个IPv4地址块，而最愿意支付这些租金的实体通常是代理和VPN提供商。

对当前通过AT&T路由的所有互联网地址块的粗略审查——如互联网骨干提供商Hurricane Electric维护的公共记录所示——显示除美国外的国家旗帜占主导地位，包括源自匈牙利、立陶宛、摩尔多瓦、毛里求斯、巴勒斯坦、塞舌尔、斯洛文尼亚和乌克兰的网络。

AT&T的IPv4地址空间似乎路由大量代理流量，包括大量直到最近由乌克兰ISP路由的IP地址范围。

当被问及代理服务通过AT&T路由外国地址块的高发情况时，这家电信巨头表示，最近改变了关于为非AT&T拥有和管理的网络块发起路由的政策。该新政策在2025年2月更新AT&T服务条款中阐明，给予这些客户直到2025年9月1日从其自己的自治系统号（ASN）发起自己的IP空间，ASN是分配给每个ISP的唯一编号（AT&T的是AS7018）。

“为确保我们的客户获得最佳服务质量，我们在2025年2月更改了专用互联网的条款，”AT&T发言人在电子邮件回复中表示。“我们不再允许使用我们未提供的IP地址的静态路由。我们一直在识别并通知受影响的客户，他们有90天时间过渡到使用自己的自治系统号进行边界网关协议路由。”

具有讽刺意味的是，乌克兰IP地址空间与代理提供商的混合导致许多这些地址被用于针对乌克兰和俄罗斯其他敌人的网络攻击。本月早些时候，欧盟制裁了Stark Industries Solutions Inc.，这是一家在俄罗斯入侵前两周出现并迅速成为俄罗斯国家支持的黑客团体大规模DDoS攻击和鱼叉式网络钓鱼尝试来源的ISP。对Stark大量地址空间的深入研究表明，其中一些来自乌克兰ISP，大部分与基于俄罗斯的代理和匿名服务相关。

根据Spur，代理服务IPRoyal是当前从Kentik报告中分析的几家乌克兰ISP的IP地址块的受益者。客户可以通过指定他们希望通过代理流量的城市和国家来选择代理。图像：Trend Micro。

Spur的首席技术官Riley Kilmer表示，AT&T的政策变更可能迫使许多代理服务迁移到政策不那么严格的其他美国提供商。

“AT&T是大型ISP中第一个似乎真正对此采取行动的，”Kilmer说。“我们跟踪几家明确销售AT&T IP地址的服务，看到这些服务在9月发生什么会非常有趣。”

尽管如此，Kilmer表示，还有其他几家美国大型ISP继续使代理服务容易带来自己的IP地址并将其托管在看起来像住宅客户的范围内。例如，Kentik的报告识别出前乌克兰IP范围显示为由Cogent Communications（AS174）路由的代理服务，Cogent是一家位于华盛顿特区的一级互联网骨干提供商。

Kilmer表示，Cogent已成为代理服务的有吸引力的总部，因为让Cogent路由地址块相对容易。

“公平地说，他们传输大量流量，”Kilmer谈到Cogent时说。“但有很多代理东西显示为Cogent是有原因的：因为在那里路由东西超级容易。”

Cogent拒绝就Kentik的发现发表评论。

评论部分

Brian Fiori（又名The Dean） 2025年6月5日
很棒的报告，Brian。请继续发布，并请保持安全。

noob 2025年6月6日
我是IT和安全的新手。这有什么意义？

Fr00tL00ps 2025年6月6日
这一切凸显了战争对互联网基础设施的令人不安的连锁反应；特别是2022年俄罗斯入侵后乌克兰IP地址空间的分裂、重新用途和货币化。
这不仅仅是关于乌克兰IP地址。这是一个关于战争、资本主义和网络犯罪在现代互联网生态系统中如何交叉的案例研究。乌克兰IP块的重新分配及其吸收到托管在西方基础设施上的模糊匿名服务中，说明了网络级决策如何带来现实世界的国家安全后果。
AT&T最近的政策变更是一个正确的步骤，但问题是系统性的。如果没有更广泛的改革和对IP经纪和路由政策的更大国际审查，我们可能会看到数字资产的更多武器化，而不是更少。

Fredecick 2025年6月6日
俄罗斯扩大其网络战争。

Mahhn 2025年6月9日
这意味着虽然RU在击败和摧毁乌克兰政府，但他们同时购买他们的资产用于针对他们和其他人的犯罪活动。
可以这样想，你想要邻居的农场，但他们不想或不需要出售。所以你烧了他们的农场，所以他们现在破产和绝望，所以现在你购买他们的农场同时假装无辜。然后你让他们在你的新农场工作，这样他们可以偿还他们欠的债务，因为你烧了它 down…

Impossibly Stupid 2025年6月6日
感谢这份详细报告，Brian。它在很大程度上解释了为什么我发现自己不得不在2024年4月 reluctantly 阻止所有UA地址在我的服务器上，以缓解我看到的日益增加的滥用。

被迫出售…“租出部分我们的IPv4资源”
人们/企业需要更聪明地处理这一点。如果必须出售就出售，如果你想与世界上最坏的人关联就租赁。没有理由期望我们对你这样做的每个/24（或无论什么）玩打地鼠游戏；你正在污染你的整个IP空间。
AT&T也因他们在这类事情中的角色而成为“一见即阻”。如果他们真诚地整顿行动，太好了！他们可能在下一两年开始从我的防火墙中掉落。可能不会 so 对于文章中列出的其他ISP，我也不得不大规模阻止。
“公平地说，他们传输大量流量，”Kilmer谈到Cogent时说。
在他们获利而我支付处理他们启用的滥用的代价时，什么是“公平”？

Klaus 2025年6月8日
这篇帖子的重点是什么？这里没有错误或非法。数千家合法代理提供商一直从常规ISP购买住宅IP然后租出。供应商ISP可能不知道转售访问，但他们的政策不禁止此类行动。同样发生在移动代理4g/5g和农场。
我在你的博客上看到这么多代理帖子，它们总是看起来像为spur.us做广告。字面上在每一篇文章中这家公司都被提到。但这是无意义帖子的高峰。

BrianKrebs 帖子作者 2025年6月8日
有趣的是你在抨击Spur。他们的服务告诉我你评论的IP地址是Premsox代理地址。Premsox是一家代理服务，已知使用恶意软件在用户不知情或同意的情况下将受感染计算机变为代理服务器。你同意感染你的计算机与代理恶意软件，还是只是使用犯罪代理服务？我实际上非常好奇知道。

crypticsilence 2025年6月9日
Pwnd。笑死。干得好 Brian！！！再次，对我们这些在前线的人无价的信息。感谢你做的工作和所有惊人的撰写。

Klaus 2025年6月10日
我不是在抨击spur，我评论的主要点是你在你帖子中描述为阴暗行为的东西根据许多国家的法律是完美 fine 和合法的。我提到spur是因为在每一篇这样的帖子中看到同一家公司被提到看起来像清晰的未披露付费合作关系，很明显你与他们有财务关系。我读你的每一篇帖子，我不确定这里是否有任何其他像这样的公司。
是的。我个人和我准备解决方案的公司一直使用代理服务。这不是秘密。包括这条评论。这就是为什么我回答感觉有点了解代理服务。我惊讶为什么你把它搞得这么大，有人租赁住宅IP然后这些作为代理服务的一部分转售。你在帖子中描述的事情一直发生，所有 tier1 服务一直做这个 all the time（bright data, pyproxy, iproyal）并且在许多国家不违反法律。
我认为低级的是，而不是为你的 claims 提供 sensible 论证，你走了“他使用代理，一定是坏男孩！不值得和他说话。”的路。我唯一的点是你在试图使转租看起来非法，而最坏只是不道德。这正在发生并将一直发生，特别是与LTE代理。
干杯

Fr00tL00ps 2025年6月10日
你有没有想过为什么Klaus，在人类已知的每一种文化中，没有人喜欢二手车销售员？
想一会儿。

FEEdomisntFreedumb 2025年6月14日
那辆崭新的日产车开得怎么样？

Fr00tL00ps 2025年6月14日
哇！我很惊讶你在脑叶切除术后能阅读和使用键盘。给我留下深刻印象！

cassiodorus 2025年6月8日
不奇怪，战争总是使用可用的任何东西。现在我们有不对称战争——廉价无人机对抗昂贵目标， stumbling 企业 stumbling into being dupes …

Erik 2025年6月9日
不得不喜欢一些这些评论中展示的无知，特别是那些来自代理的评论者。

Vikarti Anatra 2025年7月1日
所以Stark Industries是什么…
我在其他一些涉及类似ControlD的通过DNS服务器的代理用于覆盖某些与俄罗斯相关的互联网审查的情况中遇到他们。
我最初以为他们是…谷歌的一部分（！）。好知道。结果不是，但我直到现在才知道他们实际上是谁。
很可能你会看到我的评论作为从数据中心地址空间发送。我使用VPN进行大部分互联网访问，但我更喜欢使用我控制（并支付）的服务器。

评论已关闭。