شرکت ارتباطات زیرساخت ایران در ۳۰ روز گذشته، بیش از ۶۱ هزار حمله DDoS را شناسایی و دفع کرده است. این حجم حمله ناشی از ترافیک مخرب بزرگی بوده که حدود ۸ هزار میلیارد بسته و بالغ بر ۸.۷ پتابایت داده را در خود جای داده است.

آمار تهدیدات در مرکز اسکرابینگ شرکت ارتباطات زیرساخت طی یک‌ماه گذشته، نشان‌دهنده شدت و وسعت حملات سایبری هدفمند به زیرساخت‌های حیاتی کشور است. این اعداد به اندازه کافی بزرگ هستند اما عمق این حملات وقتی مشخص می‌شود که می‌بینیم در میان این تهدیدات حمله‌ای به ابعاد ۳۸۸ گیگابیت بر ثانیه بوده است. در کنار این حجم، نرخ ۱۵۸ میلیون بسته در ثانیه در حالت بیشینه ثبت شده که نشان‌دهنده پیچیدگی این حملات است.

حملات سایبری از زمان آغاز تجاوز اسرائیل به خاک ایران به طرز چشمگیری تشدید شده‌اند. این تهدیدات، تکامل جنگ سایبری از جاسوسی سنتی به حملات مالی مخرب و هدف قرار دادن زیرساخت‌های حیاتی را نشان می‌دهد.

گزارش شرکت زیرساخت
پراکندگی نوع پروتکل‌ها نمایانگر ساختار حملات است: حدود ۷۹.۵درصد حملات بر پایه UDP و مابقی بر بستر TCP انجام‌شده‌اند، استفاده از پروتکل‌های ICMP و IP تقریباً صفر درصد بوده است. این الگو با محوریت UDP در حملات هماهنگ است، چرا که حملات UDP معمولاً کم‌هزینه اما بسیار مؤثر هستند. بررسی شدت حملات نیز نشان می‌دهد بیش از ۵۶ درصد از حملات حجم کمتر از ۲ گیگابیت بر ثانیه داشته‌اند همچنین یکی از این حملات به مدت تقریبی ۲۴ ساعت طول کشیده که نشان‌دهنده استمرار و پایداری عجیب در اجرای حمله است.

از نظر نوع و تکنیک، حملات “UDP NULL” با سهم ۵۹.۵۳٪ غالب هستند. پس از آن “DNS Amplification” با حدود ۱۵٪ و “TCP Malformed” با ۱۴٪ در جایگاه‌های بعدی قرار دارند. حملاتی با تکنیک‌هایی نظیر ACK Flood، حمله ترکیبی بر‌اساس DNS، و سایر روش‌ها نیز به ترتیب مطرح هستند. این تنوع روش‌ها نشان می‌دهد که مهاجمان تلاش داشته‌اند از انواع مختلفی از حملات برای ایجاد اختلال استفاده کنند.

پایداری زیرساخت‌های ارتباطی و دفع موفق این تعداد حمله با شدت بالا نشان‌دهنده دفاع قابل توجه شرکت ارتباطات زیرساخت در برابر حملات است اما از سوی دیگر این هشدار وجود دارد که نسل جدید حملات صرفا مبتنی بر مدت زمان کوتاه و حجم‌های محدود نیستند.

تحلیل داده‌های کسپرسکی
در ماه اخیر، سیستم دفاعی محصولات کسپرسکی در ایران، بیش از چهل هزار هشدار صادر کرده است؛ این داده‌ها نشان‌دهنده فعالیت گسترده ابزارهایی چون brute force، DoS و اسکن پورت‌ها هستند. داده‌های ماهانه نشان می‌دهد که تقریباً ۴۳ درصد تهدیدات از نوع Bruteforce.Generic.Rdp.a بوده‌اند، همچنین Intrusion.Win.MS17 010.o سهمی ۳۰ درصدی داشته و Bruteforce.Generic.Rdp.d نیز نزدیک ۱۶ درصد تهدیدات را تشکیل می‌دهد. این ترکیب نشانگر تمرکز مهاجمان بر نفوذ از طریق پروتکل RDP و بهره‌برداری از آسیب‌پذیری MS17 010 (ملقب به EternalBlue) است. همچنین حملات مکاتاز (DoS) از راه TCP SYN floods نشان دهنده برنامه‌ریزی مهاجمان برای ایجاد اختلال در دسترسی به سرویس‌های حیاتی است.

در سطح عمومی‌تر، سهم ایران از حملات شبکه جهانی در روزهای اخیر حدود ۱.۴۵ درصد بوده است. این درصد از سهم نشان می‌دهد کشور در میان ده کشور نخست میزبان تهدیدات شبکه قرار دارد که با توجه به جمعیت و توسعه فناوری، میزان قابل توجهی محسوب می‌شود.

نقش فیلترینگ در افزایش آسیب‌پذیری و موفقیت حملات
فیلترینگ در ایران عملاً اثری مشابه با یک حمله دشمن دارد. تأیید و حمایت از فیلترینگ گسترده نه‌تنها به معنای دفاع از منافع ملی نیست، بلکه شبیه به پذیرفتن یک حمله داخلی یا حتی نوعی از تجاوز نرم دشمن به زیرساخت‌هاست. دشمنی که نه از بیرون بلکه با مجوز و درون مرزها اقدام به محدودسازی، تضعیف و بی‌ثبات‌سازی ابزارهای ارتباطی مردم و زیرساخت‌های اطلاعاتی کشور می‌کند.

فیلترینگ گسترده در ایران از نظر فنی موجب ایجاد نقاط تمرکز در شبکه اینترنت کشور می‌شود که این امر در معماری شبکه به‌عنوان یک نقطه شکست واحد (Single Point of Failure) شناخته می‌شود. با هدایت ترافیک بین‌المللی به چند مسیر مشخص که قابلیت بازرسی و فیلتر شدن دارند، ساختار اینترنتی کشور به‌شدت متمرکز می‌شود و مقاومت ذاتی آن در برابر حملات سایبری (مثل DDoS) کاهش می‌یابد.

از سوی دیگر، فیلترینگ نیازمند استفاده از تجهیزات DPI (تحلیل عمیق بسته‌ها) است که ترافیک ورودی و خروجی را بازرسی کرده و بر اساس الگوهای خاص مسدود یا باز می‌کند. این ابزارها از دیدگاه امنیتی خود به‌عنوان یک سطح حمله جدید (Attack Surface) در نظر گرفته می‌شوند.

فیلترینگ همچنین باعث بروز ناسازگاری با استانداردهای امنیتی جهانی می‌شود. برای مثال، قطع یا تضعیف پروتکل‌های رمزنگاری جدید مانند HTTP/3، QUIC یا DNS over HTTPS باعث می‌شود ترافیک امن از کار بیفتد یا کند شود.

ضمن اینکه فیلترینگ همچنین ابزارهای مانیتورینگ و تحلیل تهدید را کور می‌کند، زیرا استفاده گسترده از VPN و ترافیک رمزنگاری‌شده (که در پاسخ به فیلتر شدن انجام می‌شود) عملاً باعث می‌شود مرکز عملیات امنیتی کشور دیگر نتواند تهدیدهای واقعی را از ترافیک قانونی یا فریبکارانه تفکیک کند.

پیشنهاد
برای مقابله با تهدیدات جدید لازم است نهادهای دولتی و بخش خصوصی علاوه بر افزایش سطح آموزش و آگاهی، روی استفاده از ابزارهای دفاع چندلایه تمرکز کنند و پیکربندی سیستم‌های پرترافیک را در دستور کار قرار دهند.

پشتیبانی از به‌روزرسانی به‌موقع سیستم‌ها، استفاده از احراز هویت چندعاملی (MFA) برای پروتکل‌های مدیریتی اهمیت بالایی دارد.

از منظر سازمانی، استفاده از سیستم‌های مدیریت رخداد و مانیتورینگ SIEM، انجام تست نفوذ و تمرین‌های Red Team/Blue Team بسیار توصیه می‌شود.

چشم‌انداز پیش رو نشان می‌دهد حملات شبکه‌ای می‌تواند پیچیده‌تر شود. ضمن اینکه حمله به بانک سپه و نوبیتکس نشان داد هدف حملات از جاسوسی یا غارت به انگیزه‌های تخریبی تغییر پیدا کرده است.