یک پلتفرم ایرانی، با تعداد بازدید متوسط روزانه ۶۰۰ هزار IP یکتا، هفته گذشته، در معرض یک حمله بزرگ DDos به مدت ۸ ساعت قرار گرفت که نزدیک به صد در صد ترافیک آلوده آن دارای منبع ایرانی بود.
به گزارش گرداب، هر چند که جلوی حمله به این وبسایت که سرویس گیرنده از شبکه توزیع محتوا (CDN) ابر دراک بود از سوی سرویس امنیتی این شرکت ابری گرفته شد، اما طبق اعلام «ابردراک» این حمله، اولین حمله DDOS دفع شده توسط سرویس امنیت اَبری اَبردِراک بوده است که حدودا صد در صد ترافیک آلوده ایرانی داشته است.
سینا سلطانی، مدیرعامل اَبر دِراک در تحلیل اطلاعات فنی این حمله میگوید: «با اینکه این حمله از نظر فنی حمله پیشرفتهای حساب نمیشود، اما برای اولین بار با حملهای روبهرو شدهایم که تقریبا صد درصد ایرانی است. مشکل بزرگتر این است که نزدیک ۹۰ درصد این ترافیک، روی شبکه موبایل است.»
در اطلاعات فنی این حمله که طول آن ۸ ساعت بوده است، ذکر شده که این حمله از ۱۰۰ هزار آدرس یکتا نجام شده و ۹۹% از منابع این حمله از ایران بوده است. نکته قابل توجه دیگر این است که ۸۹ درصد ترافیک این حمله از شبکه موبایل و ۱۰ درصد از شبکه اینترنت ثابت ارسال شده است.
این حمله در زمانهای اوج، تعداد ۲۰ هزار درخواست در ثانیه و با ماکزیمم (بیشینه) پهنای باند ۱۰.۵ گیگابیت بر ثانیه شبکه اَبردراک و مربوط به این وبسایت را مورد هدف قرار دادند. این حمله در دستهبندی حملات DDOS در دسته خیلی کوچک طبقهبندی میشود. اما منبع اصلی این حمله ابزارهای آلوده ایرانی بوده است.
دیگر اطلاعات فنی مربوط به آن نشان میدهد که Commander این حمله باتنت (botnet) بوده است. وقوع این حمله با توجه به اینکه از سوی گوشیهای موبایل و در شبکه اینترنت ایران ایجاد شده است، نشاندهنده این است در حال حاضر شبکه اینترنت ایران با معضلات امنیتی جدیتری نسبت به گذشته روبهرو است.
باتنت، گروهی از دستگاههای متصل به اینترنت است که هر کدام یک یا چند ربات را اجرا میکنند. از باتنتها میتوان برای انجام حملات منع سرویس (DDoS)، سرقت دادهها، ارسال هرزنامه و دسترسی مهاجم به دستگاه و اتصال آن استفاده کرد. مالک میواند باتنت را با استفاده از نرمافزار فرمان و کنترل (C&C) کنترل کند. کلمه botnet ترکیبی از دو کلمه «ربات» و «شبکه» است.
از نظر سلطانی، مدیرعامل ابردراک، این موضوع (که از محدودیتهای اینترنت در ۴ ماه گذشته نشات گرفته است) به دلیل نصب و استفاده از VPNها و نرمافزارهای عموما غیرقابلاعتماد بوجود آمده است. قطعا در گذشته نیز به دلیل استفاده زیاد کاربران ایرانی از انواع راهکارهای VPN برای اتصال به اینترنت، امنیت شبکه اینترنتی ایران مستعد نفوذ و حفرههای امنیتی بود، اما در ماههای اخیر محدودیتهای اعمال شده زمینه را برای توسعه باتنتها در داخل کشور مهیا کرده است.
سلطانی میگوید: «این قبیل حملات با ترکیبی از منابع حمله ایرانی و خارجی در گذشته به ندرت برای کاربران اتفاق میافتاد. اما این حمله با این حجم از منابع ایرانی در شبکه ابر دراک بدون سابقه بوده است.»
سلطانی برای اثبات این گفته خود به گزارش کلادفلر اشاره میکند که در آن گزارش پس از اختلال در اینترنت تقریبا از مهرماه و استفاده گسترده از فیلترشکن میان کاربران ایرانی، نام ایران در بین ۱۰ کشوری که بیشترین ترافیک مخرب را ارسال میکنند قرار گرفته است.
کلادفلر پرکاربرترین سرویس CDN در دنیا، گزارش مربوط به سرویس رادار خود در سال ۲۰۲۲ را در ماه گذشته منتشر کرد، در این گزارش با بررسی و تجمیع دادههای حاصل از ترافیک شبکه کلاد فلر گزارشهایی در زمینه روندهای مصرف ترافیک و حوزه امنیت سایبری منتشر شده است.
در این گزارش ۱۰ منابعی که در دنیا بیشترین ترافیک بات را ارسال کردهاند، نام ایران به عنوان اولین منبع ترافیک بات در دنیا از اکتبر ۲۰۲۲ مشاهده میشود. در ویدئوی این نمودار که نشاندهنده روند ایجاد این رتبهبندی است، ایران تا قبل از این تاریخ، رتبهای در بین این ۱۰ کشور نداشته و از ماه اکتبر ۲۰۲۲ در میان کشورهایی که بیشترین ترافیک مخرب را ارسال میکنند، در رتبه نخست قرار دارد.
این رتبهبندی جدید کلاد فلر و بررسی ابعاد فنی حمله دفع شدهای که به آن اشاره شد، حاکی از وضعیت نگرانکننده شبکه اینترنت ایران و حفرههای امنیتی ایجاد شده پس از اعمال محدودیتها است.
منبع: پیوست