هفته گذشته اینترنت در ایران یکی از بحرانی‌ترین دوره‌های خود را سپری کرد. با آغاز تجاوز اسرائیل به خاک ایران، اینترنت کشور وارد چرخه‌ای از تغییرات پرشتاب شد که در ابتدا با افزایش ترافیک همراه بود، سپس با محدودیت‌های تدریجی و قطع کامل دسترسی ادامه پیدا کرد و در نهایت از روز گذشته (۳۱ خرداد) شاهد بازگشت کنترل‌شده و محدود اتصال به شبکه جهانی هستیم.

داده‌های منتشرشده از Cloudflare Radar نشان می‌دهد این فرایند نه‌تنها در سطح کاربری، بلکه در سطح زیرساخت و پروتکل‌های پایه شبکه نیز موثر بوده است. در این گزارش می‌کوشیم آنچه را طی ۱۰ روز جنگ بر اینترنت ایران گذشته است مرور کنیم.

ثبات شبکه پیش از بحران
اولین مرحله تجاوز اسرائیل بامداد روز جمعه بیست و سوم خرداد انجام شد. تا پیش از این تاریخ اینترنت ایران از وضعیت نسبتاً پایداری برخوردار بود. ترافیک کلی و ترافیک HTTP روندی منظم و روزانه داشت. الگوی استفاده از داده‌ها در شب و روز مشخص بود، ترافیک با آغاز صبح افزایش می‌یافت، در طول روز به اوج می‌رسید و در ساعات نیمه‌شب دچار کاهش می‌شد. نسبت بین پروتکل‌های مختلف HTTP نیز در این دوره پایدار بود. بیشترین سهم متعلق به HTTP/2 بود که نشان‌دهنده استفاده گسترده از خدمات رایج در سرویس‌های تحت وب است. همچنین HTTP/3 نیز که بر پایه پروتکل QUIC عمل می‌کند و سرعت و امنیت بالاتری دارد، سهم چشمگیری از ترافیک داشت. این وضعیت به‌وضوح حاکی از وجود شبکه‌ای نسبتاً همگام با استانداردهای جهانی است.

در نمودار زیر می‌توانید وضعیت عادی ترافیک شبکه تا پیش از بامداد ۲۳ خرداد (۱۳ ژوئن) را مشاهده کنید. خطوط نقطه‌چین دوره مشابه قبل را نشان می‌دهند. از صبح روز شنبه محدودیت‌های تدریجی اینترنت آغاز می‌شود به‌طوری‌که حجم ترافیک به کمتر از یک‌سوم هفته پیش از آن می‌رسد.

اختلال نرم و محدودیت‌های پنهان
از روز شنبه ۲۴ خرداد، همزمان با اوج گرفتن بحران نظامی و آغاز رسمی جنگ، الگوی ترافیک در نمودارها دچار تغییرات شایان توجهی شد. برخلاف انتظار که شاید مصرف به دلیل بحران کاهش یابد، ترافیک درخواست‌های HTTP در ابتدا افزایش یافت. کاربران در تلاش برای دسترسی به اطلاعات، اخبار، شبکه‌های اجتماعی و ابزارهای ارتباطی بودند. با این حال، حجم کل داده‌های منتقل‌شده کاهش پیدا کرد. این تناقض نشان می‌دهد محدودیت‌های فنی در حال اعمال بوده‌اند. نبود تطابق بین پیک درخواست‌ها و افت داده نشان‌دهنده عمدی بودن محدودیت در سطح transport یا application layer است؛ به بیان دیگر، گرچه کاربران بیشتر جست‌وجو می‌کردند، اما حجم داده‌ای که دریافت یا ارسال می‌کردند کمتر از حد انتظار بوده است.

به دلیل محدودیت اعمال شده روی اینترنت، برخلاف هفته پیش از جنگ، حجم درخواست‌ها افزایش پیدا کرده که نشان می‌دهد تعداد زیادی از درخواست‌ها بدون پاسخ و مکرر بوده‌اند.

از دیدگاه فنی، این وضعیت می‌تواند به پدیده‌ای به نام “throttling” نسبت داده شود؛ یعنی کاهش عمدی پهنای باند یا سرعت اتصال به برخی از خدمات خاص که با اهداف مختلفی انجام می‌شود. این روش باعث می‌شود کارایی و کیفیت اینترنت به‌شدت افت کند. Bandwidth throttling یا DPI (Deep Packet Inspection) برای محدودسازی خروجی ترافیک در این شرایط بسیار محتمل است. به‌علاوه، سهم پروتکل HTTP/3 نیز به‌طور ناگهانی کاهش یافت.

پروتکل HTTP/3 که از طریق QUIC و بر پایه UDP ارتباط برقرار می‌کند، به دلیل رمزنگاری کامل، سرعت بالا، و دشواری در پایش، معمولاً در چنین شرایطی حذف یا مسدود می‌شود تا نظارت بر ترافیک سرعت بیشتری پیدا کند.

قطع اینترنت و محدود شدن به شبکه ملی
چهارشنبه هفته گذشته (۲۸ خرداد ۱۴۰۴) نقطه عطف وضعیت اینترنت در ایران است. در این روز حجم ترافیک کلی، ترافیک HTTP و تعداد درخواست‌ها به‌طور ناگهانی به نزدیک صفر می‌رسد. نمودار Cloudflare به‌صراحت قطع ارتباط اینترنت بین‌المللی را تایید می‌کند. این وضعیت حدود سه روز ادامه داشت. وزارت ارتباط نیز در اطلاعیه‌ای قطع ارتباط بین‌الملل برای جلوگیری از حملات سایبری را اعلام کرد. داده‌های نت‌بلاکس نیز که مبنای گزارش CNN بوده است نشان می‌دهد کمتر از سه درصد کاربران ایران به اینترنت دسترسی داشته‌اند.

در زمان قطع اینترنت، کاربران به خدمات داخلی مانند بانک‌ها، برخی از سایت‌های خبری داخلی، پلتفرم‌های بومی و پیام‌رسان‌های داخلی با میزبانی شبکه ملی دسترسی داشتند، اما هیچ‌گونه ترافیکی از ایران به خارج از کشور منتقل نمی‌شود. در این حالت، تنها کاربران خارجی مقیم ایران یا سازمان‌های خاص با زیرساخت اختصاصی ممکن است دسترسی محدودی به بیرون داشته باشند. اما در کنار این تعداد، احتمالاً تعدادی از کاربران نیز به واسطه اینترنت ماهواره‌ای استارلینک ارتباط خود را با اینترنت بین‌الملل حفظ کردند.

داده‌های رادار آروان‌کلاود نشان می‌دهد قطع اینترنت از حدود ساعت ۱۶:۲۰ دقیقه چهارشنبه ۲۸ خرداد آغاز شد.

بازگشت محدود و کنترل‌شده اینترنت
صبح شنبه ۳۱ خرداد، پس از چند روز خاموشی مطلق، نمودار ترافیک دوباره رو به افزایش گذاشت. در این مرحله در کمتر از چند دقیقه ترافیک به‌شدت افزایش می‌یابد و به حجم پیش از خاموشی می‌رسد. نمودار زیر نشان می‌دهد بازگشت اینترنت نه به‌صورت کامل و ناگهانی، بلکه در قالب طرحی مرحله‌ای و احتمالاً با هدف نظارت دقیق‌تر انجام شده است. از نظر فنی، ممکن است ابتدا دسترسی برخی از اپراتورهای ثابت یا مناطق کم‌ریسک‌تر آزاد شده باشد.

نمودار رادار کلاودفلر نشان می‌دهد ظهر روز شنبه ۳۱ خردادماه مجدداً محدودیت‌هایی روی ترافیک اینترنت ایران اعمال شده و پهنای باندی که به یک‌سوم روزهای عادی کاهش پیدا کرده بود باز هم با افت مواجه شده و به نصف رسیده است. احتمال دارد اپراتورها TLS handshaking در برخی پورت‌ها یا مسیرها را کنترل کرده باشند.

جالب آنکه در این مرحله، ترکیب پروتکل‌های HTTP نیز با حالت پیش از بحران متفاوت است. HTTP/1.x که از قدیمی‌ترین نسخه‌های این پروتکل به شمار می‌رود، سهم بیشتری یافته است، در حالی که HTTP/2 کاهش پیدا کرده و HTTP/3 همچنان بسیار محدود باقی مانده است. این تغییر حاکی از آن است که مسیرهای ارتباطی مبتنی بر پروتکل‌های جدید به طرز هدفمند محدود نگه داشته شده‌اند. پروتکل HTTP/1.x به دلیل سادگی و قابلیت ردیابی بالاتر، در شرایط کنترلی ارجحیت دارد.

اینترنت در شرایط جنگی
بررسی روند اینترنت ایران در این بازه بحرانی نشان می‌دهد مدیریت اتصال به شبکه جهانی به‌شدت تحت تاثیر جنگ و شرایط امنیتی بوده است. روندی که از ثبات آغاز شد، با اختلال‌های تدریجی وارد فاز محدودسازی شدید شد، سپس به قطع کامل انجامید و در نهایت با بازگشتی محدود و محافظه‌کارانه ادامه یافت.

قطع اینترنت در زمان جنگ نه‌تنها اقدامی امنیتی-سیاسی، بلکه تصمیمی فنی برای حفظ انسجام زیرساخت، کاهش سطح حمله، جلوگیری از افشای اطلاعات حساس، کنترل بار شبکه و تمرکز بر مدیریت منابع محدود است. با این حال، این اقدام هزینه‌های اجتماعی، اقتصادی و حقوق بشری بالایی دارد و باید با درک دقیق از زیرساخت شبکه، طراحی مناسب فازبندی بازگشت، و آمادگی برای حفظ ارتباطات حیاتی انجام شود.

در شرایط جنگی، یکی از اصلی‌ترین دلایل فنی قطع اینترنت، حفاظت از زیرساخت‌های حیاتی مانند شبکه‌های برق، حمل‌ونقل و مراکز داده است. با جدا کردن این سامانه‌ها از اینترنت عمومی، امکان دسترسی از راه دور برای مهاجمان کاهش می‌یابد، سطح حمله محدود می‌شود و حملاتی مانند DDoS هدایت شده از خارج از کشور ناکارآمد می‌شوند.

از دیگر اهداف مهم این اقدام، حفظ امنیت عملیاتی و جلوگیری از افشای اطلاعات موقعیتی است. در بحران‌ها، اپلیکیشن‌های موبایلی، پیام‌رسان‌ها و شبکه‌های اجتماعی می‌توانند ناخواسته داده‌های حساس درباره جابه‌جایی نیروها یا زیرساخت‌ها را منتشر کنند. قطع یا محدودسازی اینترنت امکان رهگیری این اطلاعات از سوی دشمن از طریق منابع عمومی (OSINT) را کاهش می‌دهد و از حملات مبتنی بر مهندسی اجتماعی جلوگیری می‌کند.

در کنار آن، قطع اینترنت می‌تواند نقش موثری در اختلال در فرماندهی و کنترل نیروهای دشمن (C2 Disruption) ایفا کند. در بسیاری از جنگ‌های مدرن، ارتباطات نیروهای نیابتی یا نفوذی از طریق بسترهای رمزنگاری‌شده عمومی برقرار می‌شود. قطع اینترنت باعث از کار افتادن این کانال‌ها می‌شود.

در سطح داخلی، این اقدام به تثبیت و تمرکز دفاع سایبری کمک می‌کند. سامانه‌های تشخیص نفوذ IDS/IPS، فایروال‌های ملی و مراکز دفاع دیجیتال می‌توانند با کاهش ترافیک خارجی بهتر و دقیق‌تر فعالیت کنند. همچنین با هدایت کاربران به شبکه ملی، امکان نظارت مرکزی، فیلترینگ لحظه‌ای و حفظ پهنای باند برای اهداف حساس فراهم می‌شود.

در نهایت، کنترل بار شبکه و مقابله با ابزارهای عبور از فیلترینگ از دیگر ملاحظات فنی است. افزایش مصرف در بحران، همراه با رشد استفاده از VPNها، فشار شدیدی بر شبکه وارد می‌کند. ابزارهای نوینی که از رمزنگاری‌های پیچیده استفاده می‌کنند، ممکن است از فیلترینگ عبور کنند. قطع کامل اینترنت راهی برای جلوگیری از بروز حملات زنجیره‌ای (Cascade Failures) و حفظ ثبات عملکرد داخلی شبکه در شرایط بحرانی است.