提醒:本页面将不再更新、维护或者支持,文章、评论所叙述内容存在时效性,涉及技术细节或者软件使用方面不保证能够完全有效可操作,请谨慎参考!

今天在讨论板看到有人提到这个为什么阿里云主机跟踪路由会出现类似defense.gov或者DoD Network所有者的IP地址,搜索了网络发现有价值的信息不多,思科技术论坛上有这么一个帖子 《An IP address of USA Department of Defense Network Information Center in debug output of a router》 有网友提到由于历史原因,有些特殊的IP段是专门分配给军方使用的,不知是出于内网保密需要或者其他什么原因无法从公共互联网(Internet)上访问这些特殊的IP段,这些IP段因此被某些大型网络供应商来弥补内网IP地址的不足。我猜测可能因为使用这些IP地址段的军方似乎永远不会将其发布到公共网络上,所以将这些IP地址仅仅用于内网的用法也不会造成Internet外网混乱。

比如美国军方拥有的一部分IP地址段就有: 6.0.0.0/8, 7.0.0.0/8, 11.0.0.0/8, 21.0.0.0/8, 22.0.0.0/8, 26.0.0.0/8, 28.0.0.0/8, 29.0.0.0/8, 30.0.0.0/8, 33.0.0.0/8, 55.0.0.0/8, 214.0.0.0/8, 215.0.0.0/8 ,这些IP地址虽然是公共IP但是基本上被用于军方内网,查询IP数据库显示defense.gov或者DoD Network所有,如果某个网络管理员仅仅将这些IP地址配置为内网IP并不发布出去的话,对于正常访问Internet互联网没有任何影响。当然如果你的内网网络和Internet互联网是物理隔离的话,分配IP地址是什么样的都不重要,最后看的还是网络基础设施的配置,比如路由表转发等等。

当然在查这些资料的同时还发现了一些有意思的东西,也分享在这儿,比如某黑客网站建议大家不要扫描这些军方IP地址段,以提高扫描器的工作效率,这个很好理解,这些特殊的IP段无论如何都是用于内部网络,通过互联网怎么扫也不会有效果,反而浪费时间和资源,具体可以参考这个帖子 《US GOV IP ADDRESSES YOU SHOULD NOT SCAN》 ,当然帖子里公布的这些IP段不完全是内网使用的特殊IP段,可能还包含有军方或者政府防御设施或者蜜罐系统,扫描这些设备的漏洞也没有意义。

另外关于美国政府和军方使用的保密内部网络主要分为SIPRNet、 NIPRNet和JWICS,SIPRNet全称为Secret Internet Protocol Router Network,中文可以理解为保密的IP路由器网,是物理隔离用于处理涉密信息的内部网络,其中布拉德利·曼宁(Bradley Manning)曾经通过此网络窃取美军涉密信息并提供给WikiLeaks,由此可见再怎么安全的系统都不能排除人的因素带来的风险,有兴趣的读者可以观看纪录片 《我们窃取秘密:维基解密的故事》(We Steal Secrets: The Story of WikiLeaks) 了解一些信息;NIPRNet全称Non-classified Internet Protocol Router Network,中文可以理解为非涉密(但是敏感)的IP路由器网,此网络主要用于处理不涉密但是敏感的一些信息,与Internet互联网是逻辑隔离的,可以想象历史上一些著名黑客攻入美国军方网络应该指的就是这个网;最后是JWICS,全称Joint Worldwide Intelligence Communications System,中文姑且称作联合全球情报通信系统,此网络主要用于处理更高级别的涉密信息(Top Secret/SCI),这里没有更多有价值的信息就略过不表了。

至于为啥美国军方大量使用公共Ip地址段作为内网IP段使用,很简单Internet最早就诞生于美国军方使用的网络ARPANET,那时候IP地址绰绰有余,也没有内网私有保留地址的划分,所以也算是个历史遗留“问题”吧。

参考资料