Северная Корея: Ping, который никогда не возвращается
Две статьи назад, в материале о Туркменистане, мы пообещали вам Северную Корею. На прошлой неделе, в тексте о каспийском кабеле, — пообещали ещё раз. Мы написали, что traceroute в сторону Северной Кореи уходит и никакого пути не находит вовсе. 23 апреля 2026 года мы проверили это предложение на прочность.
Мы выстрелили пятнадцатью probes RIPE Atlas с трёх континентов — наши собственные точки в Минске, Алматы, Тбилиси и Иерусалиме, две probes внутри Китая, две внутри России, две в Южной Корее, две в Японии, по одной в США, Германии и Сингапуре — по четырём мишеням внутри Северной Кореи: информационное агентство ЦТАК, публичный портал naenara.com.kp, вторичный IP во втором анонсируемом блоке страны и probe-адрес в третьем блоке, на котором нет публичных сервисов. Четыре цели, пятнадцать probes, шестьдесят ping-попыток. Ноль ответов.
И при этом официальный сайт северокорейского государства открывается в любом браузере на Земле. Эта статья — о дистанции между двумя этими фактами.
Самый маленький национальный интернет
Всё глобально маршрутизируемое адресное пространство IPv4 Корейской Народно-Демократической Республики — это четыре блока /24: 175.45.176.0/24 — 175.45.179.0/24. Четыре раза по 256 — тысяча двадцать четыре адреса. Это и есть международный интернет страны, в которой живёт около двадцати шести миллионов человек. Один IP-адрес на двадцать пять тысяч граждан.
Все четыре префикса анонсирует ровно одна автономная система — AS131279, STAR-KP, зарегистрированная на офис в Рюгён-доне, район Потонган города Пхеньян. Компания Star Joint Venture Co. создана в 2008 году как совместное предприятие Министерства связи КНДР и тайской телекоммуникационной фирмы Loxley Pacific. 21 декабря 2009 года Star JV приняла на себя полный контроль над всеми международными IP-адресами, которые у Северной Кореи вообще есть. За пятнадцать лет с тех пор она не делегировала ни один из них никому за пределами себя.
Для сравнения: страна, о которой мы писали три недели назад, — Туркменистан, тоже одна из структурно самых закрытых интернет-топологий мира, — анонсирует двадцать четыре префикса IPv4. Большинство малых стран анонсируют сотни. Страны среднего размера — тысячи. Северная Корея анонсирует четыре.
Две двери, не три
Эти четыре /24 соединены с остальным миром через три международных транзита, из которых реально работают два:
| Транзит | Оператор | ASN | Статус | Физический путь |
|---|---|---|---|---|
| Китай | China Unicom | AS4837 | Основной, с 2010 | Пхеньян → Синыйджу → Даньдун, оптоволокно |
| Россия | TransTeleCom | AS20485 | Второй, с октября 2017 | Пхеньян → Хасан-Туманган, ж/д-оптоволокно до Владивостока |
| Спутник | Intelsat | AS22351 | Унаследованный, почти не используется | Геостационарный спутник |
Публичные BGP-таблицы показывают, что страна разделила свои префиксы между этими транзитами: исходный блок 175.45.176.0/24 достигается в основном через China Unicom; 175.45.177.0/24 с момента активации в 2017-м приходит в основном через TransTeleCom. Два других блока, 175.45.178 и 175.45.179, в разных BGP-полях видны то через один, то через другой.
То, что это имеет меньшее значение, чем звучит, — сюжет следующего раздела.
Ping, который никогда не возвращается
23 апреля 2026 года в 16:24 UTC мы запустили четыре одновременных ICMP-ping-измерения — по одному на каждый из четырёх целевых IP — с пятнадцати описанных выше probes. Все четыре измерения завершились в течение семи минут. Каждый из шестидесяти индивидуальных ping-результатов выглядит одинаково:
| Страна probe | Probes | Успешных ping-ов (из 12 на probe) |
|---|---|---|
| Китай | AS37963, AS4808 | 0 |
| Россия | AS12389 (Ростелеком), AS49893 | 0 |
| Южная Корея | AS31898, AS4766 | 0 |
| Япония | AS63949, AS31898 | 0 |
| США, Германия, Сингапур | AS46293, AS9145, AS141995 | 0 |
| Наши собственные (BY, KZ, GE, IL) | AS42772, AS60930, AS34666, AS1680 | 0 |
С каждой точки наблюдения, которую мы попробовали, — включая две probes внутри самого Китая, страны, через которую проходит основная часть исходящего трафика Северной Кореи, — ни одно ICMP-echo ни к одному из четырёх префиксов КНДР не было отвечено. Потери пакетов не были частичными. Они были тотальными.
Стена внутри China Unicom
Параллельно запущенные traceroute-измерения рассказывают более интересную историю. До Северной Кореи они тоже не доходят — но провал у них выглядит неоднородно.
У большинства из пятнадцати probes ответы хопов обрываются где-то внутри магистрали транзитного оператора, оставляя после себя хвост из звёздочек — «* * * * *». Но у горстки трейсов — один из китайской probe в Пекине, один из сингапурской, один из немецкой — находится на один шаг дальше. И в каждом из этих случаев последний видимый ответ приходит с одного и того же адреса:
103.35.255.254
Этот адрес — не северокорейский. Он находится в диапазоне 103.35.252.0/22, чей WHOIS-объект записан на организацию CENBONGT-HK, с адресом на четвёртом этаже здания в Монгкоке, Коулун, Гонконг. В маршрутных таблицах RIPE префикс 103.35.255.0/24 вообще не анонсируется: ноль из 331 пиринговых сессий RIPE RIS видит маршрут до него. Адрес отвечает на ICMP TTL-expired, но сам не является конечной точкой. Это транзитный интерфейс — конкретнее, узел внутри сети China Unicom, который стоит, для всех практических целей, между Китаем и Северной Кореей. «Cenbong» — имя, под которым в литературе фигурирует китайский автоматический ре-маршрутизатор, решающий, передавать ли пакет, адресованный в КНДР, на интерфейс China Unicom, обращённый к Пхеньяну, или отправить обратно в глобальную таблицу с пометкой «недостижим».
С нашего собственного сервера в Нидерландах мы запустили TCP-traceroute к порту 80 на kcna.kp. Путь оказался конкретным:
| Хоп | Адрес | Оператор / Локация |
|---|---|---|
| 7 | 185.1.226.233 | AMS-IX, Амстердам |
| 8 | 193.251.145.106 | Orange (France Telecom), длинная магистраль |
| 9-12 | 219.158.3.117 и т.д. | China Unicom (AS4837), магистраль |
| 13 | 103.35.255.254 | Граница Cenbong-HK — ICMP здесь заканчивается |
| 14-16 | * * * | молчат (хопы внутри KP-транзита не отвечают) |
| 17 | 175.45.176.71 | ЦТАК, Пхеньян — TCP доходит |
Пакет таки доходит до Северной Кореи. Но проходит через хопы 14, 15 и 16 только TCP-SYN — ICMP-ответы TTL-expired, на которых стандартный traceroute строит всю свою картину, отбрасываются, то ли самим Cenbong, то ли промежуточным фильтром, то ли на edge'е самого Star JV. Для любого, кто пользуется обычным ping или traceroute, последнее, что он когда-либо увидит, — это тот самый адрес в Гонконге.
Почему HTTP всё равно работает
С того же голландского сервера обычный HTTP-запрос к каждому из трёх публично-адресованных KP-IP возвращает чистый ответ HTTP 200 за, как правило, меньше секунды:
| Цель | HTTP-ответ | Время |
|---|---|---|
| 175.45.176.71 (kcna.kp) | 200 OK | 0,54 с |
| 175.45.176.91 (naenara.com.kp) | 200 OK | 0,98 с |
| 175.45.177.1 (ЦТАК alt) | 200 OK | 0,54 с |
| 175.45.178.1 (неиспользуемый блок) | connection refused / timeout | 8,00 с |
Северная Корея хочет, чтобы вы могли читать её новости. Это и есть весь смысл тонкого ломтика глобального интернета, который у страны есть. Англо-, русско-, китайско-, и корейскоязычная пропаганда государства, новостная лента ЦТАК, государственная газета «Нодон синмун», портал Naenara — всё это отдаётся с этих 1024 IP-адресов и намеренно открыто для TCP-трафика извне. А вот ICMP — не открыт. Ping и traceroute, два инструмента, до которых первым делом тянется любой сетевой инженер, — не тот вектор угрозы, против которого КНДР хотела бы оставить свою инфраструктуру открытой. Поэтому стек принимает 80/tcp и молча отбрасывает 1/icmp.
Четвёртый префикс, 175.45.178.0/24, ничего не обслуживает и на порту 80. В маршрутных таблицах он существует и анонсируется. В сети он так же молчалив, как и соседний /178. Это те адреса, которые Star JV держит в резерве — для внутренних правительственных систем, под будущее распределение, ни под что. Мы не знаем. Никто за пределами здания, до которого мы не можем достучаться, не знает.
Интранет, которым на самом деле пользуются все
Неявная рамка этой статьи — и двух предыдущих — звучала так: интернет страны — это её международная связность. Для большинства мест это так. Для Северной Кореи — вводит в заблуждение. По всем правдоподобным оценкам, подавляющее большинство северокорейских интернет-пользователей к интернету не подключено вовсе. Они работают в Кванмёне — национальном интранете, полностью отдельной IP-сети, недостижимой снаружи, в которой живут внутренние государственные сайты, университетские ресурсы и отобранный государством кусок внешнего веба, зеркалируемый вручную. Те 1024 адреса, до которых можно добраться снаружи, — это окно правительства, обращённое наружу. Окно, обращённое внутрь, — в совершенно другую страну.
Это настоящий двойной интернет, и такого в мире почти нет. Иран держит национальный интранет (NIN), частично и неидеально отделённый от глобальной сети. Внутрикитайские хосты в основном глобально достижимы, но жёстко фильтруются GFW. Так далеко, как Пхеньян, больше никто не зашёл.
Кладбище probes, снова
Три недели назад мы отметили, что за всю историю сети RIPE Atlas в Туркменистане было размещено пять probes — все в статусе Abandoned, вне сети достаточно долго, чтобы считаться пропавшими. Для Северной Кореи это число ещё меньше:
Одна probe. ID 1011805. Код страны KP. Статус: Disconnected. Адрес: не зафиксирован. Мы не знаем, в какой ASN она кратковременно жила, в каком здании, кто её включал. Мы знаем только, что она была — и потом её не стало.
Больше ни одной probe RIPE Atlas в Северной Корее никогда не размещалось. Ни одна не была установлена с тех пор. Страну изнутри никто не измеряет.
Проверьте сами
Восемь идентификаторов измерений, запущенных нами 23 апреля 2026 года, публичны и доступны через API RIPE Atlas в любой момент: 167145509, 167145510, 167145511, 167145512, 167145513, 167145514, 167145515, 167145516. Перезапустите любой из них — получите ту же картину: ни одного ICMP-ответа, стены звёздочек и, если внимательно смотреть на трейсы, дошедшие до самого дальнего края, — тот же самый гонконгский адрес как последнее, что кто-либо видит.
Затем, из любой оболочки где бы то ни было, наберите curl http://175.45.176.71/. Ответ придёт. Если вы знаете корейское «рабочие газеты», вы можете читать новости. Пакеты идут. Вы просто не можете наблюдать, как они идут.
Конец серии
Это третья и последняя часть серии, которая начиналась с Туркменистана, страны, маршрутизирующейся в обход физического мира, и продолжалась Азербайджаном и Казахстаном, регионом, который маршрутизируется вместе с физическим миром в ту самую минуту, как на морское дно ляжет кабель. Северная Корея завершает серию вопросом, который ни одна из первых двух не могла поставить: что значит, что «интернет» страны достижим только для определённых протоколов, только с определённых источников, только по определённым причинам?
Обычная рамка глобальных индексов интернет-свободы — это цензура: что граждане внутри страны могут и не могут видеть. Такая рамка полезна, но неполна. Взгляд снаружи, измеренный самыми старыми инструментами сети, говорит нечто дополнительное: симметрии нет. Страна, которая не даёт своим пользователям достучаться до мира, — это страна, чью сеть вы тоже не можете зондировать. Внешняя стена и внутренняя стена — одна и та же стена, и ни с одной стороны она не открывается для ICMP.
Мы начинали с вопроса: что происходит, когда международный интернет страны ограничен — рельефом, политикой, геополитикой. Туркменистан показал нам страну, которая приняла эту форму. Азербайджан и Казахстан показали регион, заливающий кабель в морское дно, чтобы из неё выбраться. Северная Корея показывает, как выглядит предельный случай. Предельный случай — это пакет ping, который никогда не возвращается домой.
