2011年12月19日，也就是三胖上台后的第三天，我对这一新任领导如何改革朝鲜的网络很是好奇，于是乎就对其网络空间进行了扫描。

　　朝鲜地区如何上网

　　朝鲜互联网接入方式和其他一些事情一样，都很特殊。据官方称，朝鲜拥有一个完全覆盖全国各地的超级局域网，大多数县民仅仅是访问下局域网就行了。注意了，并不是说朝鲜在闭关锁国了，朝鲜的官方政府，新闻记者，其他一些有能力的人，以及来朝鲜朝拜的游客都可以随意访问世界各地网站。

　　总的说来，朝鲜想要连接到世界网络，就需要搭上天朝这边的网络，或者是连接到卫星。

　　以下就是我扫描到的朝鲜IP地址

　　朝鲜分配的网络地址范围：175.45.176.0/22：

　　inetnum：        175.45.176.0 – 175.45.179.255

　　netname：        STAR-KP

　　descr：          Ryugyong-dong

　　descr：          Potong-gang District

　　country：        KP

　　status：         ALLOCATED PORTABLE

　　mnt-by：         APNIC-HM

　　mnt-lower：      MAINT-STAR-KP

　　mnt-routes：     MAINT-STAR-KP

　　changed：        20091221

　　source：         APNIC

　　当然，朝鲜之所以伟大，那是因为朝鲜至少有两个B类地址。

　　朝鲜领导就下命令了，允许朝鲜国民使用以下B类地址：

　　210.52.109.0/24 ，这个B类地址是通过中国联通作为原始IP来源分配给朝鲜。

　　inetnum：        210.52.109.0 – 210.52.109.255

　　netname：        KPTC

　　country：        CN

　　descr：          Customer of CNC

　　status：         ASSIGNED NON-PORTABLE

　　changed：        20040803

　　mnt-by：         MAINT-CN-ZM28

　　source：         APNIC

　　77.94.35.0/24 ，这个B类地址是SatGate（俄罗斯的一家卫星公司）分配给朝鲜的。这也是朝鲜唯一一个在RIPE注册的地址。

　　inetnum：        77.94.35.0 – 77.94.35.255

　　netname：        SATGATE-FILESTREAM

　　descr：         Korean network

　　country：        KP

　　admin-c：        AVA205-RIPE

　　admin-c：        EVE7-RIPE

　　tech-c：         PPU4-RIPE

　　tech-c：         ANM47-RIPE

　　status：         ASSIGNED PA

　　mnt-by：         SATGATE-MNT

　　source：         RIPE

　　从SatGate公司提供的覆盖图中，我们可以看到提供给朝鲜的服务并不是SatGate公司已知的卫星，竟然还是VIP服务，不泄漏朝鲜隐私，给赞一个！

　　但是，通过SatGate分配的IP地址，网络服务就要通过IntelSat（国际通信卫星组织）。目前IntelSat有很多卫星可以提供服务，特别是IntelSat 22卫星有更好的覆盖范围。

　　还有一些其他的卫星不同程度的覆盖了部分朝鲜半岛。

　　根据DynResearch的数据，似乎朝鲜基本上都是使用天朝联通，卫星只是作为一个后备。

　　无论怎么说，还是长话短说吧。我重点关注的还是分配给朝鲜的IP地址。

　　方法

　　这段时间我一直在做扫描工作。遗憾的是，由于种种原因，没有完全做完。

　　我所有的扫描工作都是使用的Nmap：

　　nmap -p1-65535 -sV -O 175.45.176.0/22 -T4> nk.scan &

　　nmap-p1-65535 -sV -O 175.45.176.0/22 -T4 -Pn > nkall.scan &

　　从本质上来说，我扫描了所有IP地址的全部端口，这都得益于Nmap的优秀表现。

　　原始数据

　　随意浏览扫描日志（笔者已经分享到GitHub）

　　在每个目录下都有一个filtered.scan的过滤文件，这个文件不重要的。

　　记住，随意浏览不必去看原始日志。

　　我注意到的一些东西

　　其中我最感兴趣的便是，朝鲜自从换领导以后，连接到网络的电脑情况是怎样的呢？

　　相信这个答案，也是诸位客官十分关注的吧，很不幸的是，我得出的结论是并没有增加多少，但是如果你只是看扫描日志，那么你会吓一跳。

　　朝鲜基础设施

　　最开始，朝鲜大部分基础设施都使用的Linux，当你知道朝鲜自己有基于Linux开发Red Star OS时就不会感到惊奇了。事实上，从今年的扫描结果可以看到，朝鲜一些Web服务器在使用的Red Star OS。

　　Nmap scan report for naenara.com.kp(175.45.176.67)

　　PORT   STATE SERVICE VERSION

　　80/tcp  open http    Apache httpd 2.2.15((RedStar 3.0)  DAV/2 PHP/5.3.3mod_ssl/2.2.15 OpenSSL/1.0.0-fips)

　　在我的最近一次扫描中就包括了3台Red Star OS机器。

　　有趣的是，早前这个时候，我扫描结果中有几台Red Hat机器替换成了Red Star，估计是朝鲜准备将Red Hat替换成Red Star的节奏。

　　朝鲜也使用Centos（在最近一次扫描中就有4台，比朝鲜产的Red Star还要多），说了这么多Linux，其实朝鲜也会使用Windows。所以综上所述，朝鲜已经具备了多元化的基础设备环境，而不仅仅是Linux当道。

　　但是，在我这几年的观察中，他们的基础设备并没有改变多少。虽然如此，但是朝鲜本土运行的网站倒是越来越多了。

　　Nmap scan report for 175.45.178.129

　　Not shown： 65523 closed ports

　　PORT    STATE    SERVICE        VERSION

　　22/tcp  open     ssh            Cisco SSH 1.25 (protocol 1.99)

　　23/tcp  open     telnet         Cisco router telnetd

　　80/tcp  open     http           Cisco IOS http config

　　443/tcp  open    ssl/http       Cisco IOS httpconfig

　　朝鲜对于网络安全这块还是不够重视啊。

　　客户端机器

　　更加有趣的是那些进入网络的客户机。朝鲜大部分计算机都是处在淘汰边缘的产品，而且一些计算机竟然充当服务器角色进入网络。

　　APPLES APPLES EVERYWHERE， BUT NOT A BITE TOEAT

　　2012年3月20日扫描结果中，奇迹发现有一台MacBook Air，乔帮主还是伟大的。这台苹果的网络记录有些不正常。

　　map scan report for 175.45.177.38

　　Host is up (0.35s latency).

　　Not shown： 65521 closed ports

　　PORT    STATE    SERVICE        VERSION

　　22/tcp  open     ssh            OpenSSH 5.6 (protocol 2.0)

　　88/tcp  open     kerberos-sec   Microsoft Windows kerberos-sec

　　135/tcp filtered msrpc

　　136/tcp filtered profile

　　137/tcp filtered netbios-ns

　　138/tcp filtered netbios-dgm

　　139/tcp filtered netbios-ssn

　　445/tcp filtered microsoft-ds

　　548/tcp open     afp？

　　593/tcp filtered http-rpc-epmap

　　3689/tcp open     rendezvous？

　　4444/tcp filtered krb524

　　4488/tcp open     unknown

　　5900/tcp open     vnc            Apple remote desktop vnc

　　1 service unrecognized despite returningdata. If you know the service/version， please submit the following fingerprintat http：//www.insecure.org/cg

　　i-bin/servicefp-submit.cgi ：

　　SF-Port548-TCP：V=5.50%I=7%D=3/20%Time=4F687DAA%P=x86_64-redhat-linux-gnu%r

　　SF：(SSLSessionReq，223，"x01x03Qxecxffxffx02x13x000

　　SF：0>bx9fxfbx1badministratorxd5sx20MacBookx20Airx9bxab

　　SF：xffx01px01x8f
MacBookAir4，1x05x06AFP3.4x06AFP3.3x06AFP3.2x

　　SF：06AFP3.1x06AFPX03x06 DHCAST128x04DHX2x06Recon1
Clientx20Krbx20

　　SF：v2x03GSSx0fNox20Userx20Authentx15+xc3xd9xf9Q[xc7xa1x02xa7

　　SF：Dx88Dxb2(x05x08x02xaf-xb1&x02$x14x07xfex80x0

　　SF：2xffxfe
x06x02$x14x07xfex80bxc5Gxffxfex

　　SF：03[fx02$x14x07xfdex87Rxd7！xa4bxc5Gxffxfex03[fx02$x0f

　　SF：x04175.45.177.38x01oafpserver/LKDC：SHA1.AA6C3E197C870B839764D57E8

　　SF：9AF4A940C95B060@LKDC：SHA1.AA6C3E197C870B839764D57E89AF4A940C95B060x

　　SF：1dadministratorxe2x80x99sx20MacBookx20Airx80`~x06x06+x0

　　我猜测这台苹果机运行了侦查程序，这方面笔者不是太熟悉。

　　结论：朝鲜有高大上的MacBook，这台机器可能是记者的机器，这估计是最合理的解释了。

　　虚拟化技术

　　不说说这个东西，免得你以为朝鲜跟不上世界的脚步。要知道朝鲜已经开始使用VMware了。

　　Nmap scan report for 175.45.178.134

　　Not shown： 65534 filtered ports

　　PORT   STATE SERVICE     VERSION

　　912/tcp open  vmware-auth VMware Authentication Daemon 1.0(Uses VNC， SOAP)

　　Warning： OSScan results may be unreliablebecause we could not find at least 1 open and 1 closed port

　　Device type： general purpose|phone

　　Running： Microsoft Windows2008|Phone|Vista|7

　　OS CPE： cpe：/o：microsoft：windows_server_2008：：beta3cpe：/o：microsoft：windows cpe：/o：microsoft：windows_vista：：-cpe：/o：microsoft：windows_vista：：sp1 cpe：/o：microsoft：windows_7

　　OSdetails： Microsoft Windows Server 2008 Beta 3， Microsoft Windows Phone 7.5，Microsoft Windows Vista SP0 or SP1， Windows Server 2008 SP1， or Windows 7，Microsoft Windows Vista SP2， Windows 7 SP1， or Windows Server 2008

　　直到今年9月份，我都没有找到任何的证据。VMware对于朝鲜民众来说可能是一个比较新的玩意吧，但是不排除他们在内部网络已经玩很久了。

　　Say bye

　　Enjoy the scans， have fun。