作者:知道創宇404實驗室
原文下載:網絡空間視角下的哈薩克斯坦動亂.pdf

一、背景介紹

2022年伊始,哈薩克斯坦西部石油重鎮扎瑙津爆發抗議活動,隨后迅速蔓延到包括阿拉木圖在內的其他城市。抗議從抵制液化石油氣價格飆升逐漸發展為暴力騷亂。部分示威者甚至闖進前首都阿拉木圖政府,阿拉木圖市政府和檢察院遭縱火。但隨著集體安全條約組織成員國向哈薩克斯坦派遣軍隊提供援助,哈薩克斯坦的局勢逐漸得到控制。

在整個動亂事件的背景中,哈薩克斯坦政府切斷全國網絡成為了控制局勢穩定的重要一環。哈薩克斯坦數字發展與航空工業部代理部長穆興表示:網絡的關閉是由于恐怖分子利用網絡來進行協調和溝通。 根據新聞報道,2022年1月5日晚,哈薩克斯坦政府切斷了全國的網絡。2022年1月7日,哈薩克斯坦總統托卡葉夫表示政府已決定恢復部分地區的網絡服務。2022年1月10日,阿拉木圖市和其它部分地區的移動網絡與有線網絡恢復、即時通信軟件和社交網站也恢復運行。

在切斷網絡和網絡恢復的這幾天時間內,哈薩克斯坦的局勢得以控制,全國各地的憲法秩序已大體恢復。在此,我們也將從網絡空間的視角入手,看一看在動亂發生前后,哈薩克斯坦的網絡有哪些變化。

注:本文部分引用的部分數據可能因各種原因導致判斷不準確、本文關于IP地址的位置解析主要依賴于IP庫的數據,在部分地區的位置可能存在誤差,故本報告所含信息僅供參考。

二.動亂前的哈薩克斯坦網絡空間

2.1 哈薩克斯坦網絡設備分布情況

截止2022年1月5日24時,ZoomEye網絡空間搜索引擎一共收錄哈薩克斯坦1712153個ip和356427個域名的4786464條歷史數據,其中 4786341 條數據可以定位到具體的地理位置。根據地理位置信息進行統計,前首都阿拉木圖北部、現首都努爾蘇丹、卡拉干達都是網絡設備大量聚集的地區。

基于Google地圖繪制

2.2 哈薩克斯坦的互聯網發展情況以及GPON路由的占比情況

2017年,哈薩克斯坦政府通過“數字哈薩克斯坦”國家規劃,旨在依靠數字技術加快國家經濟發展,提高居民生活質量。從哈薩克斯坦的整體數據來看,哈薩克斯坦已經達到較高的互聯網普及率,但互聯網相關產業仍在發展中:

  1. 互聯網已經走進了哈薩克斯坦的千家萬戶。根據網絡設備類型進行統計,哈薩克斯坦端口數據中 GPON Home Gateway 占比超過 22.04%,實際數量超過 1055345 條。GPON Home Gateway 是一款常見的 GPON 設備,也就是所謂的光貓。GPON Home Gateway 所屬的網絡自制域多是 AS9198(哈薩克斯坦電信公司)

  2. 互聯網相關行業仍有很大發展空間。根據AS自治域的統計結果,排名前列的也多是網絡運營商、VPS提供商,其中甚至出現了俄羅斯的抗DDoS自治域。整體來說,互聯網接入、互聯網服務提供商居多,利用互聯網進行各類商務活動的企業占比較少。這類企業仍有很大的發展空間。

哈薩克斯坦的自治系統分布如下:大致和上述的互聯網提供商一致,但也出現了俄羅斯的抗DDoS網段。

在本次分析中,我們結合以下兩條外部數據,決定通過額外關注 GPON Home Gateway 的數量變化來了解哈薩克斯坦的網絡恢復情況:

  1. 根據世界銀行的統計數據,哈薩克斯坦2019年總人口為 18513673。

  2. 根據聯合國關于哈薩克斯坦《消除對婦女一切形式歧視公約》中的內容可知,2009年哈薩克斯坦每個家庭由3.5個成員組成。

(GPON設備數量 * 家庭成員數量) /(哈薩克斯坦人口總數 * 哈薩克斯坦電信公司份額占比) = 32.03%

這說明接近三分之一的哈薩克斯坦家庭使用哈薩克斯坦電信公司網絡和互聯網緊密相連。GPON Home Gateway在網絡上恢復也就意味著對應地區的秩序已經恢復。

2.3 哈薩克斯坦外交政策和SSL證書信息/域名的關聯

哈薩克斯坦在大國之間奉行政治上“多元平衡”與經濟上積極合作的政策,尤其是在中、美、俄三國關系上,進行“等邊三角形”外交。

從哈薩克斯坦的SSL證書的國家分布也可以看到,中國、美國、德國等國家的證書占比要遠高于其本國的證書比例。一方面是因為其國民用來上網的光貓是中國生產的 GPONHome Gateway,該光貓使用的SSL證書地區是中國,另一方面其https網站的SSL證書簽名來自國外,例如Let's Encrypt 等。同樣也可以看出來,哈薩克斯坦本土網絡發展進度較慢。僅有4349個SSL證書的國家為KZ。

從解析后IP地址位于哈薩克斯坦境內的域名所屬頂級域入手(為了防止泛解析影響最終的統計結果,所以子域名都歸類到對應的二級域名下,計數為1),哈薩克斯坦本地的.kz頂級域占據了絕對的多數,其次是.com域和.ru域,而.cn頂級域的數量僅為三條。這也從側面說明了多國在哈薩克斯坦投資的側重點不盡相同。

三.斷網前后哈薩克斯坦網絡空間設備的變化情況

根據ZoomEye網絡空間搜索引擎的探測結果,2022年1月5日16時開始,僅能探測到極少量哈薩克斯坦主機。該時間略早于新聞報道的中所述的2022年1月5日晚。

在意識到哈薩克斯坦切斷網絡這一事件爆發后,ZoomEye網絡空間搜索引擎在2022年1月6日12時、2022年1月7日15時、2022年1月7日20時、2022年1月8日9時、2022年1月9日11時、2022年1月11日9時、2022年1月12日11時、2022年1月14日18時進行了多輪探測。

3.1 動亂爆發地點特點

在動亂初期,網上流傳有一張哈薩克斯坦發生大規模游行抗議的城市圖,和2.1節中的分布圖相比較不難發現,大部分爆發游行抗議的城市互聯網都較為發達。

圖源自網絡

但仔細對比之下也出現了一些細節上的差異:

  1. 哈薩克斯坦西部的曼格斯套州僅有極少的網絡設備,但卻包含抗議活動的發起地區扎瑙津,以及另外兩個抗議爆發地點。

  2. 哈薩克斯坦北部靠近俄羅斯邊界的彼得羅巴甫爾、東部塞米伊、東部厄斯克門(俄語舊語:烏斯季卡緬諾戈爾斯克)雖然也存在網絡設備聚集,但沒有發生抗議游行等活動。

對于哈薩克斯坦西部的曼格斯套州,存在豐富的石油氣資源,但是現代化發展有限,網絡設備較少。從地理位置和經濟發展上來看,哈薩克斯坦西部距離政治/經濟中心較遠、貧富差距不斷拉大、油氣收入分配不均都是引發抗議活動的原因。豐富資源產出分配不均和現代化的緩慢發展之間的沖突在這些城市蔓延發酵。

哈薩克斯坦同樣是一個多民族的國家,根據外交部的數據,截止2021年7月,哈薩克斯坦約有140個民族,其中哈薩克族占68%,俄羅斯族占20%(https://www.fmprc.gov.cn/web/gjhdq_676201/gj_676203/yz_676205/1206_676500/1206x0_676502/) 。由于多方面的歷史原因,哈薩克斯坦的俄羅斯族人主要聚集在哈薩克斯坦北部地區。從2021年哈薩克斯坦俄羅斯族人各城市的占比圖中可以看到,哈薩克斯坦北部彼得羅巴甫爾、東部塞米伊、東部厄斯克門(俄語舊語:烏斯季卡緬諾戈爾斯克)均是俄羅斯族占比極高的地區。這也許是這些地區沒有發生抗議游行活動的原因之一。

圖來源于網絡

結合事后的哈薩克斯坦總統托卡耶夫給這場動蕩定性為未遂政變來看,本次動亂可能主要集中發生在哈薩克族人自身,作為哈薩克斯坦境內第二大名族俄羅斯族則牽涉較少。

3.2 斷網恢復期間的差異性

在對多輪探測的數據進行分析后,哈薩克斯坦境內各城市的網絡恢復大致呈現出三種狀態:

  1. 以哈薩克斯坦現首都努爾蘇丹為代表,在第五輪掃描時就已經恢復了大部分網絡設備。下圖中紅色圓圈表示。
  2. 以哈薩克斯坦前首都阿拉木圖為代表,在第四輪到第六輪掃描期間網絡在持續恢復。下圖中藍色三角表示。
  3. 以動亂爆發地附近阿克套地區為代表,在多輪掃描的過程中,網絡設備沒有明顯變化。下圖中綠色五角星表示。

在2.1節中的分布圖基礎上,分別標記出上述三類城市的地理分布:

可以看到,哈薩克斯坦中部偏北、以現首都為中心的主要城市網絡最快恢復,哈薩克斯坦東邊(包括前首都阿拉木圖)和西邊的城市恢復的較慢,而動亂最先爆發的石油重鎮扎瑙津附近,網絡設備并沒有明顯變化。

這似乎也能說明這場動亂最先在哈薩克斯坦首都為中心的主要城市被平息,然后在哈薩克斯坦全國范圍內平息。而動亂最開始爆發的扎瑙津附近地區,也僅僅只是引信被點燃的地區,而不是動亂爆發最激烈的地區。

3.3 斷網及恢復期間CIDR段變化情況

根據2.2節的結論,我們將對比整個哈薩克斯坦以及GPON Home Gateway所涉及網段在恢復期間的變化情況。

根據后綴為24的CIDR段去分割哈薩克斯坦的網絡空間(注:下文所述CIDR段均指后綴為24的CIDR段),對比多輪探測中出現和消失的IP段,可以得出兩個結論:

  1. 在第六輪掃描(2022年1月11日9時)時,哈薩克斯坦的大部分網絡已經重新和互聯網連接,回到動亂前的狀態。在第一輪掃描的數據中,也就意味著相較于歷史記錄,斷網時有8592個的CIDR段消失,但在第五輪和第六輪一共有6961個(81.01%)CIDR段重新出現。

  2. 在第七輪掃描(2022年1月12日11時)之前,哈薩克斯坦人民的日常網絡連接也恢復正常。。GPON 相關的CIDR段在第七輪(2022年1月12日11時)出現292個,消失206個,在第八輪(2022年1月14日18時)出現234個消失200個,說明GPON相關的CIDR段已經開始動態變化,符合GPON使用的正常規律,出現GPON設備頻繁上下線網段變化的情況。

在第二輪的數據中,出現了 282 個CIDR段,但只出現了4個和GPON有關的CIDR段,這部分CIDR段還需要繼續關注。

四.思考和總結

根據已知的報道,哈薩克斯坦動亂被定性為未遂政變,但在整個事件中,能找到多方勢力聞風而動的影子。斷網可能是切斷恐怖分子進行溝通協調途徑的辦法之一,但也要警惕可能產生的應對方案:破壞者依舊可以使用藍牙、無線電的方式在斷網的情況下快速傳遞信息,實現破壞最大化。

對于我們的鄰國哈薩克斯坦,我們了解的資料的確有限。消息也存在一定的滯后性。希望能從這篇文章中拓展出一種動態測繪某個地區的思路,通過網絡空間和現實空間事件的結合,從而開啟另一個角度的思考。

文中部分結論可能受時間、地區、IP庫的精準度等多個條件影響,如有錯誤,歡迎指正。

Paper 本文由 Seebug Paper 發布,如需轉載請注明來源。本文地址:http://www.bjnorthway.com/1862/