代理服务蚕食乌克兰IP地址大逃亡

研究背景

根据Kentik公司的最新研究，自2022年2月以来，乌克兰近五分之一的互联网地址空间已被俄罗斯控制或出售给互联网地址经纪人。分析表明，大量乌克兰IPv4地址现由匿名的代理和匿名服务掌控，这些服务嵌套在美国一些最大的互联网服务提供商（ISP）中。

乌克兰ISP的IPv4地址流失

Ukrtelecom案例

乌克兰主要ISP Ukrtelecom目前仅路由其在战争初期控制的29%的IPv4地址范围。尽管许多原有IP空间处于休眠状态，但Ukrtelecom向Kentik的Doug Madory表示，他们被迫出售大量地址块“以确保财务稳定并继续提供基本服务”。

其他ISP情况

• LVS (AS43310)：2022年路由约6,000个IPv4地址，到2022年11月，大部分地址已分散到十多个不同地点，主要在AT&T宣布。
• TVCOM：当前路由的IPv4地址比战争初期减少近15,000个，这些地址已分散到东欧以外的37个网络，包括亚马逊、AT&T和微软。
• Trinity (AS43554)：在2022年3月初马里乌波尔围困期间下线，但其地址空间最终出现在全球50多个不同网络中，其中1,000多个IPv4地址突然出现在AT&T网络上。

代理服务的角色

为什么美国网络路由乌克兰IP？

根据跟踪VPN和代理服务的公司spur.us，Kentik识别出的几乎所有地址范围现在都映射到商业代理服务，这些服务允许客户通过他人的计算机匿名路由其互联网流量。

从网站的角度来看，代理网络用户的流量似乎来自租用的IP地址，而不是代理服务客户。这些服务可用于多种商业目的，如价格比较、销售情报、网络爬虫和内容抓取机器人。然而，代理服务也被大量滥用用于隐藏网络犯罪活动，因为它们难以将恶意流量追踪到原始来源。

IPv4地址的经济价值

IPv4地址范围一直需求旺盛，这意味着它们也相当有价值。现在有多家公司愿意向ISP支付费用，租赁其不需要或未使用的IPv4地址空间。Madory表示，这些IPv4经纪人每月支付100-500美元租赁一个256个IPv4地址的块，而最愿意支付这些租金的实体通常是代理和VPN提供商。

AT&T的政策变化

对当前通过AT&T路由的所有互联网地址块的粗略审查（如互联网骨干提供商Hurricane Electric维护的公共记录所示）显示，除了美国之外，还有许多其他国家的网络，包括源自匈牙利、立陶宛、摩尔多瓦、毛里求斯、巴勒斯坦、塞舌尔、斯洛文尼亚和乌克兰的网络。

AT&T的IPv4地址空间似乎路由大量代理流量，包括许多直到最近仍由乌克兰ISP路由的IP地址范围。

关于代理服务通过AT&T路由外国地址块的高发情况，这家电信巨头表示，最近改变了关于非AT&T拥有和管理的网络块发起路由的政策。这项新政策在2025年2月更新的AT&T服务条款中明确规定，给予这些客户直到2025年9月1日的时间，从其自己的自治系统号（ASN）发起自己的IP空间。

安全影响

网络攻击滥用

具有讽刺意味的是，乌克兰IP地址空间与代理提供商的混合导致许多这些地址被用于针对乌克兰和俄罗斯其他敌人的网络攻击。本月早些时候，欧盟制裁了Stark Industries Solutions Inc.，这家ISP在俄罗斯入侵前两周出现，并迅速成为俄罗斯国家支持的黑客团体大规模DDoS攻击和鱼叉式网络钓鱼尝试的来源。对Stark大量地址空间的深入研究表明，其中一些来自乌克兰ISP，大部分与基于俄罗斯的代理和匿名服务相关。

代理服务的迁移

Spur的首席技术官Riley Kilmer表示，AT&T的政策变化可能会迫使许多代理服务迁移到政策不那么严格的美国其他提供商。例如，Kentik的报告确定了前乌克兰IP范围显示为由Cogent Communications（AS174）路由的代理服务，Cogent是位于华盛顿特区的一级互联网骨干提供商。

Kilmer表示，Cogent已成为代理服务的有吸引力的基地，因为让Cogent路由地址块相对容易。“公平地说，他们传输大量流量，”Kilmer谈到Cogent时说，“但很多代理东西显示为Cogent是有原因的：因为在那里路由东西超级容易。”

Cogent拒绝就Kentik的调查结果发表评论。

结论

乌克兰IP地址的流失和代理服务的滥用突显了战争对互联网基础设施的深远影响，以及网络级决策可能带来的现实世界国家安全后果。尽管AT&T的政策变化是朝着正确方向迈出的一步，但问题具有系统性，需要更广泛的改革和国际监督。