Первый взгляд на AnoNet. ANOther NETwork

1. О проекте и структуре

Основной сайт проекта http://anonet.org/ встречает описанием:

Background

In early 2005, a few people fed up with the way the Internet was heading, began in earnest to create a large wide area network that was secure and lived in its own space. On this new network anyone would be free to do as they saw fit - roam about, host services, or just be social without fear of being monitored or even worse censored. The first step to bring this network to fruition was to encrypt the information that normally travels across the Internet. What they ended up with is known as anoNet.

This network was inspired by MetaNet, another “dark” network on the Internet, that used similar techniques to reach their goals. A few “core” members of anoNet were once a part of MetaNet but due to their strict nature, peering with MetaNet was lost and they became an “island”. anoNet has already surpassed what MetaNet had in membership, and is on its way to being a viable alternative to the “Internet” you currently know, whether you love it or hate it.

http://anonet.org/

Если кратко - в 2005 группа энтузиастов была недовольна тем, куда двигался Интернет - слежка, сбор данных, цензура. Идея была вполне обыкновенная - создать очередную сеть, где все будут свободны в “блуждании” по сети и хостинга сервисов. Вдохновлен AnoNET был более старым проектом - MetaNet. Несколько основоположников AnoNET были частью MetaNet, между сетями был пиринг, но из-за “строгой сущности” пиринг с MetaNET был потерян и MetaNet стал “островом”. Как написано на сайте, AnoNET опережает на данный момент MetaNET и является альтернативой Интернету.

Архитектура - “сеть-поверх-сети”, в которой для связи между узлами используются различные типы тоннелей, а для обеспечения работы инфраструктуры используются внутренние DNS и BGP-пиринги. Да, внутри сети есть свои AS, но нумерация используется не из частного диапазона.

http://www.ucis.ano/bgpmap/ - Тут можно посмотреть карту текущих пирингов

Таблица маршрутизации после подключения выглядит следующим образом:


21.0.0.0/8 via 21.255.113.129 dev tap0 proto static metric 50

21.255.113.128/26 dev tap0 proto kernel scope link src 21.255.113.131 metric 50

172.22.0.0/15 via 21.255.113.129 dev tap0 proto static metric 50

198.18.0.0/15 via 21.255.113.129 dev tap0 proto static metric 50


21.255.113.128/26 входит в 21.0.0.0/8 (только завернута на другой next-hop), соответственно, остаются 3 сети, по которым можно поблуждать:

21.0.0.0/8 - сама сеть AnoNET из диапазона маршрутизируемых адресов Интернет. Забронирована за DoD, но, так как считается, что сейчас Мин. обороны США не использует эту сеть, поэтому AnoNET взяли ее себе с целью не допустить перекрытия с частными диапазонами внутренних ЛВС пользователей;

172.22.0.0/15 - из частного диапазона 172.16.0.0/12, и это пиринг с сетью другой оверлейной сетью - dn42, основной сайт https://www.dn42.net/Home.

По этим двум сетям инфа взята отсюда http://ix.ucis.ano/peering.php (пока можете не пытаться перейти по ссылке, ниже объясню почему);

198.18.0.0/15 - тоже зарезервирована как частный диапазон для тестирований, но чья именно сеть я не нашел. О том, кому принадлежит сеть, я выяснил у “бати” AnoNET - Ivo Smits, в IRC-чате.

[19:56:40] abs which VPN is that?

[19:56:47] I don’t think that’s mine

[19:57:28] Hi! OpenVPN, got config from http://ix.ucis.nl/ucis-ix-client.ovpn

[20:02:16] Got this routes though TAP

[20:02:29] 21.0.0.0/8 via 21.255.113.129 dev tap0 proto static metric 50

[20:02:29] 21.255.113.128/26 dev tap0 proto kernel scope link src 21.255.113.131 metric 50

[20:02:29] 172.22.0.0/15 via 21.255.113.129 dev tap0 proto static metric 50

[20:02:29] 198.18.0.0/15 via 21.255.113.129 dev tap0 proto static metric 50

[20:07:01] oh right, that stuff

[20:07:14] it used to be a peering with another network

[20:07:37] I don’t think it’s still operational

[20:08:58] Ok, thanks

[20:09:46] And what that network was?

[20:12:52] VAnet

[20:15:07] That interesting. Thank you!

И речь, судя по всему, о недействующем пиринге с сетью другой оверлейной сетью VAnet: http://wiki.ucis.nl/VANet, просто префикс до сих пор прилетает.

В сети используется местный TLD (top level domain) .ano, поддомены которого можно получить только от их внутреннего DNS 21.3.3.64.

Для подключения нужен OpenVPN, установленный на машине, и конфиг файл отсюда http://ix.ucis.nl/clientport.php, и здесь же небольшая инструкция.

Подключение к AnoNET осуществляется к серверу anocp.ucis.nl (178.33.23.196). Главная страница UCIS http://www.ucis.nl/:

UCIS Internet is a registered business in The Netherlands, providing web- and virtual server hosting and software development services in a variety of languages.

Тут можно заменить, что CNAME запись у anocp.ucis.nl является Delta.UFO-Net.nl, тут можно выйти на http://www.ufo-net.nl- персональный сайт Ivo Smits, одно из тех, кто содержит хозяйство.

От себя добавлю несколько замечаний по подключению:

  1. По умолчанию, вы цепляетесь OpenVPN напрямую к серверу в один прыжок - никакой цепочки прокси и прочего. НО, можно подключиться через TOR, админы AnoNET это предусмотрели. Нужно раскомментировать/закомментировать в конфиге пару строк:

##If you want to connect through tor you can comment the first “remote” line and uncomment the second “remote” line and the “socks-proxy” line below to use the hidden servers through your local tor proxy.

remote anocp.ucis.nl 21194

#remote jntaszmo3py24mx7.onion 1194

#socks-proxy localhost 9050

  1. На моей linux-машине, если добавить OpenVPN-профиль через NetworkManager, то маршрут по умолчанию (без доп. настроек) заворачивается через тоннель, соответственно в него и идет весь трафик. Но замечу, что конфиг-файл такого не предполагал, но вы можете раскомментировать строку, чтобы этот маршрут был:

##You can enable this option to route all your internet traffic through the anonet VPN

#redirect-gateway

  1. Также у меня подменился мой дефолтный DNS на DNS AnoNET 21.3.3.64 (все запросы стекали туда). Проблему решил с помощью dnsmasq, чтобы только запросы на домен .ano летели на их DNS. Очевидно, что если DNS игнорировать вовсе, то на сайты .ano по доменным именам вы не попадете.

2. Сайты и сервисы

Старт в прогулке можно взять от http://anonet.org/ в разделе Activities

http://www.ucis.ano/ - .ano сайт проекта UCIS, по сути, это центральная точка AnoNET. Тут есть небольшой каталог ссылок и сервисов.

http://ix.ucis.ano/ - UCIS Internetwork Exchange. Сайт одной ногой смотрит в Интернет http://ix.ucis.nl/.

Выше было указано, что есть пиринг с сетью dn42 и был пиринг с сетью VAnet. Вот тут указано, какие сети подключены к IX (всего две, да). Есть местный Looking Glass, отсюда можно брать более точные сети AnoNET и dn42, но прошу отнестись с уважением и очень интенсивно не сканить.

http://wiki.ucis.ano/Anonet - местная вики, также есть маленький каталог ресурсов

http://www.ucis.ano/dump/ - файлопомойка Ivo, все для ваших очумелых ручек и глазок.

http://cablegate.ucis.ano/ - дамп WikiLeaks.

Ну и конечно есть местный IRC irc://irc.ucis.ano, который одной ногой смотрит в Интернет - IRC.Kwaaknet.Org

irc://irc.ucis.ano

Основной канал, где есть отвечающие - #anonet

Местный IRC это не только общение, но файловый обмен средствами DCC!

Например заходим на каналы #HOLLAND-HARDCORE или #software. В этих каналах, кстати говоря, больше всего народу. Боты тут беспрерывно сыпят в эфир сообщениями:

#HOLLAND-HARDORE

Они перечисляют пронумерованные списки файлов, которые можно скачать и соответствующие команды. Например:

*[22:30:01] <+HH-XDDC|0001> ** …::: Holland-Hardcore :::… ***

[22:30:01] <+HH-XDDC|0001> ** 6 packs ** 20 of 20 slots open, Record: 18844.6kB/s

[22:30:01] <+HH-XDDC|0001> ** Bandwidth Usage ** Current: 0.0kB/s, Record: 2254.0kB/s

*[22:30:01] <+HH-XDDC|0001> ** To request a file, type “/MSG HH-XDDC|0001 XDCC SEND x” ***

*[22:30:01] <+HH-XDDC|0001> ** To request details, type “/MSG HH-XDDC|0001 XDCC INFO x” ***

[22:30:01] <+HH-XDDC|0001> #1 1x [264M] Heroes Of Hardcore - American Edition.zip

[22:30:02] <+HH-XDDC|0001> #2 0x [137M] Heroes Of Hardcore - Marc Acardipane, Dj Promo, The Stunned Guys.zip

Чтобы скачать у бота HH-XDDC|0001 файл номер 1, вводим и отправляем в эфир

/MSG HH-XDDC|0001 XDCC SEND 1

IRC-клиент выведет запрос на принятие файла от бота, соглашаемся, открывается закачка. Тут стоит сразу упомянуть, что большинство файлов не скачиваются.

Вообще, многие ссылки на UCIS битые или помечены как “CURRENTLY DOWN!”. В IRC два с половиной аборигена. Многое говорит о том, что сеть не очень активна, и вообще создает впечатление скорее кооперативной BGP-лаборатории для любителей. Ну и в целом можно заметить, все это сервисы самого UCIS. Какого-либо каталогов сервисов по AS, подключенных к UCIS IX, которые входят в AnoNET я не нашел. Спросил насчет этого у Ivo:

[21:15:59] And is there some cooperative catalogue of services in ASes that in peering? I found resourses of UCIS itself only. I think its last question :slight_smile:

[22:10:51] abs, there used to be several such sources mostly on wikis and websites, but I don’t know of any other than my own (site and wiki) at the moment

Таким образом, Иво ответил, что раньше было несколько таких источников - в основном вики и сайты, но на данный момент, кроме своих, других ресурсов не знает. Я не стал докапываться, но похоже, Иво, как эксплуататор IX, в целом больше заинтересован сетевой частью, чем размещением сервисов. Еще был довольно глупый вопрос - а есть ли вообще кто-либо кроме него (если глянуть в Looking Glass, то конечно есть), на что он ответил “я думаю, еще несколько других подключено”:

[20:29:00] Ivo: can you tell me, are you maintain AnoNET all alone, or there are more supporters?

[20:32:59] just interesting to know more about the project

[20:41:25] anonet is a cooperative project, there is not one maintainer

[20:41:32] I think there are a few others connected

3. Заключение

AnoNET следует исследовать в плане обнаружения внутренних сервисов, причем делать это нужно как внутри сети, так и снаружи.

1 лайк