هفته گذشته حملات اینترنتی به سمت ایران به اوج خود رسید و به گفته مقامات دولتی حتی طی یک هفته دو برابر شده و به نظر میرسد همچنان ادامه خواهد داشت.
این حملات تمرکز یافته بر نوع DDos (منع سرویس) بوده که هدف از آن از کار انداختن سرویس یا سایتهای هدف است. هرچند در ایران سالهاست انواع و اقسام حملات اینترنتی مورد تجربه قرار گرفته و با روشهایی با آن مقابله شده اما حملات اخیر به شکل، شیوه و در سطحی انجام شده که توان مقابله با آن حتی برای مهمترین شرکت دولتی حوزه ارتباطات ایران – شرکت ارتباطات زیرساخت- که تمام پهنای باند ایران را در دست خود دارد هم دشوار بوده است.مقامات دولتی میگویند این حملات زیرساختهای اصلی اینترنت در کشور را درگیر نکرده و صرفا برخی کسبوکارها را نشانه رفته، برخی از مقامات حتی معتقدند رقبای داخلی با ایجاد ترافیک خارجی پشت این حملات بودهاند. با این حال نتایج این حملات باعث افت قابلتوجه کیفیت اینترنت کشور و از کار افتادن مقطعی برخی دیتاسنترها و به تبع آن سرویسهای پرکاربر در این دو هفته شده که نارضایتی کاربران را به همراه داشته است.اما چرا شبکه و زیرساخت اینترنت کشور و سپرهای امنیتی مانند «دژفا» قادر به دفع کامل حملات نبودهاند؟ معماری شبکه اینترنت ایران و انحصار واردات پهنای باند تا چه اندازه مقابله با این حملات را دشوار کرده و راهحلهای مقابله با این حملات چه از سمت کسبوکارها و چه دولت کجاست؟
حملاتی گستردهتر از قبل
مدل و هدف حملات DDos بسیار ساده است:آنقدر ترافیک غیرواقعی روی هدف سرازیر میکنند تا سایت یا سرویس قربانی از کار بیفتد. این ترافیکها از نقاط مختلف سرچشمه میگیرند از جمله کامپیوترهای آلوده یا دستگاههای متصل به اینترنت – مثل دوربین مداربسته یا بلندگو یا… – و افرادی که کنترل این کامپیوترها یا ابزارها را به وسیله بدافزارها در اختیار گرفتهاند از حجم انبوه ترافیک تولید شده توسط آنها برای اهداف حملات DDos استفاده میکنند.حملات DDos معمولا یا پهنایباند تعریف شده برای سایت یا سرویس موردنظر را هدف قرار میدهند یا با افزایش ترافیک، منابع سرور هدف (مثل CPU) را اشغال میکنند. این حملات منجر به از بین رفتن یا سرقت اطلاعات نمیشود و در اغلب اوقات خدماتدهندگان اینترنت قادر به رفع و رجوع آن هستند.حملات در روزهای اخیر اما آنقدر گسترده و وسیع بوده که تمهیداتی حتی در سطح دیتاسنتر هم برای مقابله با آن کافی نبوده و تمهیداتی در سطح کشور مورد استفاده قرار گرفته که حتی بهرغم انجام همان تمهیدات کیفیت اینترنت کشور با افت قابلتوجه روبهرو شده است.
رئیس سازمان فناوری اطلاعات هفته گذشته به ایسنا گفت: این حملات در این سطحی که الان وجود دارد هیچ وقت نبوده و پیک حملات نسبت به کل ماکزیمم تاریخ قبلی از هفته قبل دوبرابر شده است.در موارد قبلی عمدتا با خارج کردن سرور سایت (مسدود کردن سایت یا آی پی قربانی بهطور موقت) یا استفاده از امکاناتی فنی با ترافیکهای جعلی مقابله میکردند. یکی از این امکانات بهرهگیری از CDN است که راهکار اصلی مقابله با اینگونه حملات است. CDN (شبکه تحلیل محتوا) با توزیع کردن محتوا در نقاط مختلف جهان، با حمله متمرکز ترافیک جعلی مقابله میکند.اما در حملات اخیر مستقیما آیپی برخی شرکتهای خدماتدهنده اینترنت و میزبان سایت (که ممکن است سرور وبسایتها یا سرویسهای موردنظر حملهکننده را هم میزبانی کنند) مورد حمله قرار گرفته است، حملاتی بیسابقه که گفته میشود دیتاسنترهای ایرانی برای مقابله با آن آماده نبودهاند.نتایج این حملات به افت شدید پهنای باند این دیتاسنترها منجر شده که نتایج آن را در هفته گذشته در وضعیت کیفیت اینترنت شاهد بودیم.
هزینه گران مقابله با حملات
مقابله با حملات در سطح پایینتر عمدتاتوسط شرکتها و تمهیدات فنی قابلحل است اما حملات با ترافیکهای گسترده و به اصطلاح ترابیتی اساسا قابلتمهید هم نیست. هرچند هزینه حملات سنگینتر بسیار گران است اما حملات کوچک با هزینه بسیار پایین (در حد ۵ دلار برای چند ثانیه) قابلانجام است. برخی از سایتهایی که چنین حملاتی را ارائه میکنند حتی از بیتکوین بهره میگیرند تا خریدار واقعی ناشناس بماند.فرهاد فاطمی ناخدای فنی ابرآروان درباره نحوه مقابله با این حملات به «دنیایاقتصاد» گفت: «در دنیا برخی شرکتها با تمهید Scrubbing Center ترافیک آلوده را به اصطلاح از ترافیک واقعی تفکیک میکنند که هماکنون توسط شرکت زیرساخت برای اینترنت ایران از چنین مدلی بهره گرفته میشود.»
با این حال معماری شبکه اینترنت ایران به اینگونه است که کلیه پهنای باند اینترنت باید توسط یک شرکت (شرکت زیرساخت) خریداری، وارد کشور و توزیع شود.فاطمی میگوید: «راهکار قطعی برای برخی از این حملات در دنیا هم وجود ندارد، این حملات انجام میشود و ضررهای هنگفتی میزند. برخی در دنیا از همان روش Scrubbing Center استفاده میکنند و برخی دیگر از CDN اما چون همه شرکتهای خدماتدهنده و میزبان اینترنت در ایران از شرکت زیرساخت خدمات میگیرند، اینترنت کل کشور تحتتاثیر قرار میگیرد.»علیرضا شیرازی بنیانگذار بلاگفا و متخصص فنی دیتاسنتر به «دنیایاقتصاد» گفت: واقعیت این است سختافزارها و حتی فایروالهای مورد نیاز برای چنین حملاتی در سطح سرویسهای بزرگ بسیار گران است و ما فعلا تجهیزات مقابله با حملات بسیار گسترده را نداریم.
حملهکنندگان و روشهای مقابله
بسیاری از متخصصان میگویند یافتن مهاجمان واقعی و انگیزههای اصلی آنان اصلا ساده نیست.سجاد بنابی عضو هیاتمدیره زیرساخت در گفتوگو با «ایرنا» گفت: احتمال میدهم منشأ این حملات رقبای داخلی کسبوکارها باشند؛ اما واقعیت این است که عمده ترافیک این حملات از خارج از کشور میآید.علیرضا شیرازی میگوید سخن گفتن از دلایل پشت پرده و افراد پشت حملات ساده نیست؛ چراکه انگیزههای متعددی میتواند برای این حملات وجود داشته باشد؛ هرچند حملاتی با انگیزه افت کیفیت اینترنت ایران میتواند انگیزههای فراتر از رقابتهای کسبوکار داشته باشد.یک روش ایران برای مقابله با چنین حملاتی خارج کردن دسترسی از خارج از کشور به سایت و سرور مربوطه است. به این روش ایران اکسس میگویند که شرکت زیرساخت چنین روشی را در مواردی به کار گرفته است. بنابی، عضو هیاتمدیره زیرساخت به «ایرنا» میگوید: معمولا وقتی در لایه زیرساخت با حمله مقابله میکنیم نیاز به قطع اینترنت بینالملل یا دسترسی ایران اکسس داریم، گاهی هم خود سرویسدهنده (مثلا پارس آنلاین، شاتل و…) چاله سیاهی درست میکنند که آیپی قربانی را از بیرون کسی نبیند.
پاشنه آشیل ایران در حملات اینترنتی
معماری اینترنت ایران بر اساس قانون شرکتهای خدمات دهنده را از گرفتن پهنای باند بهطور مستقیم از خارج از کشور منع میکند. این ویژگی طی این سالها باعث شده که شرکت زیرساخت به انحصار پهنای باند متهم شود؛ انحصاری که افزایش قیمت تمامشده اینترنت برای کاربر نهایی یکی از نتایج آن است.حالا این انحصار به پاشنه آشیل اینترنت ایران در مقابله با این حملات هم منجر شده است. متخصصان معتقدند وضعیت ایدهآل این بود که شرکتها هرکدام خودشان به پهنای باند دسترسی داشتند از روشها و شیوههای مختلف مستقلا به اینترنت متصل میشدند یا حتی از شرکتهای مختلف ارائهدهنده خدمات مقابله با DDos سرویس میگرفتند؛ چیزی که احتمالا به دلیل تحریمها برای شرکت دولتی زیرساخت ساده نیست.علیرضا شیرازی میگوید: در صورتی که شرکتهای اصلی سرویس دهنده در ایران خود به اینترنت متصل بودند در هنگام بروز چنین حملهای کل شبکه اینترنت کشور دچار افت نمیشد و تنها همان یک شرکت تحتتاثیر حمله قرار میگرفت و از دسترس خارج میشد.حملات اینترنتی ۱۰ روز اخیر آخرین حملات از این دست نخواهد بود. با رشد روزافزون سرویسهای اینترنتی و وابسته شدن کاربران به آن حالا تمهیدات جدید و تازهای مورد نیاز است.