یک پلتفرم ایرانی، با تعداد بازدید متوسط روزانه ۶۰۰ هزار IP یکتا، هفته گذشته در معرض یک حمله بزرگ DDos به مدت هشت ساعت قرار گرفت که نزدیک به صد درصد ترافیک آلوده آن دارای منبع ایرانی بود.
هرچند جلو حمله به این وبسایت که سرویس گیرنده از شبکه توزیع محتوا (CDN) ابر دراک بود از سوی سرویس امنیتی این شرکت ابری گرفته شد، اما طبق اعلام «ابردراک» این حمله، اولین حمله DDOS دفعشده توسط سرویس امنیت اَبری اَبردِراک بوده است که حدوداً صد درصد ترافیک آلوده ایرانی داشته است.
سینا سلطانی، مدیرعامل اَبردِراک، در تحلیل اطلاعات فنی این حمله میگوید: «با اینکه این حمله از نظر فنی حمله پیشرفتهای حساب نمیشود، اما برای اولین بار با حملهای روبهرو شدهایم که تقریباً صد درصد ایرانی است. مشکل بزرگتر این است که نزدیک ۹۰ درصد این ترافیک روی شبکه موبایل است.»
در اطلاعات فنی این حمله که طول آن هشت ساعت بوده است، ذکر شده که این حمله از ۱۰۰ هزار آدرس یکتا انجام شده و ۹۹ درصد از منابع این حمله از ایران بوده است. نکته قابل توجه دیگر اینکه ۸۹ درصد ترافیک این حمله از شبکه موبایل و ۱۰ درصد از شبکه اینترنت ثابت ارسال شده است.
این حمله در زمانهای اوج، تعداد ۲۰ هزار درخواست در ثانیه و با ماکزیمم (بیشینه) پهنای باند ۱۰.۵ گیگابیت بر ثانیه شبکه اَبردراک و مربوط به این وبسایت را هدف قرار دادند. این حمله در دستهبندی حملات DDOS در دسته خیلی کوچک طبقهبندی میشود.
اما منبع اصلی این حمله ابزارهای آلوده ایرانی بوده است.
موبایلها بیشترین نقش را در این حمله داشتهاند.
دیگر اطلاعات فنی مربوط به آن نشان میدهد Commander این حمله باتنت (botnet) بوده است. وقوع این حمله با توجه به اینکه از سوی گوشیهای موبایل و در شبکه اینترنت ایران صورت گرفته نشاندهنده این است که در حال حاضر شبکه اینترنت ایران با معضلات امنیتی جدیتری نسبت به گذشته روبهروست.
باتنت گروهی از دستگاههای متصل به اینترنت است که هر کدام یک یا چند روبات را اجرا میکنند. از باتنتها میتوان برای انجام حملات منع سرویس (DDoS)، سرقت دادهها، ارسال هرزنامه و دسترسی مهاجم به دستگاه و اتصال آن استفاده کرد. مالک میتواند باتنت را با استفاده از نرمافزار فرمان و کنترل (C&C) کنترل کند. کلمه botnet ترکیبی از دو کلمه «روبات» و «شبکه» است.
از نظر سلطانی، مدیرعامل ابردراک، این اتفاق (که از محدودیتهای اینترنت در چهار ماه گذشته نشات گرفته است) به دلیل نصب و استفاده از VPNها و نرمافزارهای عموماً غیرقابل اعتماد رخ داده است. قطعاً در گذشته نیز به دلیل استفاده زیاد کاربران ایرانی از انواع راهکارهای VPN برای اتصال به اینترنت، امنیت شبکه اینترنتی ایران مستعد نفوذ و حفرههای امنیتی بود، اما در ماههای اخیر محدودیتهای اعمالشده زمینه را برای توسعه باتنتها در داخل کشور مهیا کرده است.
سلطانی میگوید: «این قبیل حملات با ترکیبی از منابع حمله ایرانی و خارجی در گذشته به ندرت برای کاربران اتفاق میافتاد. اما این حمله با این حجم از منابع ایرانی در شبکه ابردراک بیسابقه بوده است.»
۱۰ کشور برتر که منبع اصلی ترافیک باتها در حملات ddos هستند. منبع: رادار کلادفلر
سلطانی برای اثبات این گفته خود به گزارش کلادفلر اشاره میکند که در آن گزارش پس از اختلال در اینترنت تقریباً از مهرماه و استفاده گسترده از فیلترشکن میان کاربران ایرانی، نام ایران در بین ۱۰ کشوری که بیشترین ترافیک مخرب را ارسال میکنند قرار گرفته است.
کلادفلر، پرکاربرترین سرویس CDN در دنیا، گزارش مربوط به سرویس رادار خود در سال ۲۰۲۲ را ماه گذشته منتشر کرد، در این گزارش با بررسی و تجمیع دادههای حاصل از ترافیک شبکه کلادفلر گزارشهایی در زمینه روندهای مصرف ترافیک و حوزه امنیت سایبری منتشر شده است.
در این گزارش در ۱۰ منابعی که بیشترین ترافیک بات را در دنیا ارسال کردهاند، نام ایران به عنوان اولین منبع ترافیک بات در دنیا از اکتبر ۲۰۲۲ مشاهده میشود. در ویدئو این نمودار که نشاندهنده روند ایجاد این رتبهبندی است ایران تا قبل از این تاریخ، رتبهای در بین این ۱۰ کشور نداشته و از ماه اکتبر ۲۰۲۲ در میان کشورهایی که بیشترین ترافیک مخرب را ارسال میکنند در رتبه نخست قرار دارد.
این رتبهبندی جدید کلادفلر و بررسی ابعاد فنی حمله دفعشدهای که به آن اشاره شد، حاکی از وضعیت نگرانکننده شبکه اینترنت ایران و حفرههای امنیتی ایجادشده پس از اعمال محدودیتهاست.