IRCRE201110080
تاريخ: 23/7/90
شركت Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر ميكند. در اين مطالعه، داده هايي از سراسر دنيا جمع آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله ها، سرعت اينترنت و غيره منتشر ميشود. اين شركت به تازگي گزارش خود را درباره سه ماهه دوم سال 2011 منتشر كرده است. در ادامه، خلاصه اي از مهمترين بخشهاي امنيتي اين گزارش را مطالعه مي كنيد.
ترافيك حمله، كشورهاي مبداء حملات
در طول سه ماهه دوم سال 2011، Akamai شاهد ترافيك حمله نشأت گرفته از 192 كشور/منطقه يكتا بوده است كه اين تعداد نسبت به تعداد 199 كشور در سه ماهه اول همين سال، كاهش يافته است. همانطور كه شكل زير نشان ميدهد، ميانمار كه در سه ماهه پيشين در صدر فهرست 10 كشور برتر قرار داشت، در اين سه ماهه به مكان دوم فهرست تغيير مكان داده است. مصر نيز كه آخرين بار در سه ماهه چهارم سال 2010 در اين فهرست مشاهده شده بود، به فهرست 10 كشور برتر توليد كننده ترافيك حملات بازگشته است، و اندونزي نيز براي نخستين بار در اين فهرست جاي گرفته است. در ميان كشورهايي كه اغلب در اين فهرست مشاهده ميشوند، تايوان، چين، برزيل و روماني، نسبت به سه ماهه پيشين مسئول ايجاد ترافيك حملات بيشتري بوده اند. در حاليكه ايالات متحده آمريكا، روسيه و هند، در اين سه ماهه درصد كمتري از ترافيك حملات را نسبت به سه ماهه پيش از آن توليد كرده اند.
زماني كه ميانمار در سه ماهه اول 2011 براي نخستين بار در فهرست كشورهاي برتر توليد كننده ترافيك حمله ظاهر شد، هنوز معلوم نبود كه اين اتفاق صرفا براي يك سه ماهه رخ داده است يا پس از آن نيز شاهد حضور اين كشور در اين فهرست خواهيم بود. اما حضور دوباره اين كشور نشان ميدهد كه حملات نشأت گرفته از ميانمار همچنان پورتهاي 80 و 443 را مورد حمله قرار داده اند. در ميان اين حملات، 60% پورت 80 و 40% باقي مانده، پورت 443 را هدف گرفته اند. در حقيقت نزديك به نيمي از كل حملاتي كه پورت 80 را هدف گرفته اند، از ميانمار نشأت گرفته اند. پورت 80 همچنين هدف برتر 66% از حملات نشأت گرفته از كشور اندونزي بوده است.
توزيع قاره اي ترافيك حمله در اين سه ماهه بسيار شبيه به اين توزيع در سه ماهه اول 2011 بوده است، به طوريكه 47% از ترافيك حمله مشاهده شده از آسيا-اقيانوسيه، 30% از اروپا، 20% از آمريكا و 3% باقي مانده از آفريقا نشأت گرفته اند.
ترافيك حمله، پورتهاي برتر
تمركز ترافيك حمله در ميان 10 پورت برتر نسبت به سه ماهه قبل با اندكي افزايش روبرو بوده است، به طوريكه در اين سه ماهه 10 پورت برتر هدف 70% از حملات بوده اند (در سه ماهه اول اين ميزان، 65% بود). پورت 445 همچنان در صدر فهرست پورتهاي برتر هدف حملات قرار دارد، و درصد حملاتي كه در مجموع پورتهاي 80 و 445 را هدف گرفته اند، با سه ماهه اول 2011 برابر است. درصد حملاتي كه پورتهاي 25 (پورت SMTP) و 21 (پورت FTP) را هدف گرفته اند در اين سه ماهه به حدي كم بوده است كه اين پورتها را از فهرست 10 پورت برتر خارج كرده است. در مقابل پورتهاي 3389 (پورت Microsoft Terminal Services) و 4899 (پورت Remote Administrator) در اين فهرست ظاهر شده اند.
همانطور كه پيشتر نيز اشاره شد، تقريبا نيمي از حملاتي كه پورت 80 را هدف گرفته اند از ميانمار نشأت گرفته اند، در حاليكه اندونزي، روسيه و ايالات متحده آمريكا نيز اين پورت را در ميان پورتهاي برتر خود داشته اند. حملاتي كه پورت 1433 (پورت Microsoft SQL Server) را هدف گرفته اند نيز مانند پورت 80، بسيار متمركز بوده اند. 70% از اين حملات از چين نشأت گرفته اند. همچنين 5 پورت برتر هدف حملات كشور چين نسبت به سه ماهه اول 2011 ثابت باقي مانده اند.
در بررسي داده هاي ترافيك حمله مشاهده شده در سه ماهه دوم 2011 از يك هاني پات كه توسط يك اتحاديه امنيتي بخش عمومي/خصوصي مديريت ميشود، مشاهده شد كه 7 پورت برتر مشاهده شده در اين هاني پات، مشابه پورتهاي برتر فهرست Akamai هستند، البته درصدها و توزيع اين پورتها متفاوت بود. اين هاني پات بيشترين تمركز حملات را بر پورت 139 (پورت NetBIOS) مشاهده كرده است و فهرست 10 پورت برتر آن، شامل پورتهاي 5900 (پورت Virtual Network Computer)، 27977 (پورت Socks5 Proxy) و 9988 (پورت Software Essentials Secure HTTP Server) نيز ميباشد. بعلاوه، تحليل باينريهاي بدافزاري جمع آوري شده توسط اين هاني پات نشان ميدهد كه كرم Conficker/Downadup/Kido هنوز در حال فعاليت و گسترش است.
ترافيك حمله شبكه هاي موبايل، كشورهاي برتر توليد كننده
در بازبيني داده هاي ارائه شده در شكل بعد، به اين نتيجه ميرسيم كه تغييرات قابل توجهي در انتشار ترافيك حمله نشأت گرفته از شبكه هاي موبايل در سه ماهه دوم 2011 وجود داشته است. ايالات متحده آمريكا به مكان اول اين فهرست نقل مكان كرده و 42% از ترافيك مشاهده شده را توليد كرده است. درصد ترافيك حمله مشاهده شده از ايتاليا كمي بيش از نصف سه ماهه اول 2011 است و اين كشور را در مكان دوم فهرست كشورهاي توليد كننده ترافيك حمله شبكه هاي موبايل قرار داده است. روسيه در ورود مجدد خود به اين فهرست در مكان سوم قرار گرفته و مسئوليت 13% ترافيك حمله مشاهده شده از شبكه هاي موبايل را بر عهده دارد. در بررسي داده ها با جزئيات بيشتر، به نظر ميرسد كه در سه ماهه دوم 2011، تعداد زيادي اسكن پورت از سيستمهاي متصل به شبكه هاي موبايل در ايالات متحده و روسيه انجام شده است. ورود مجدد روسيه به فهرست 10 كشور برتر، آرژانتين را از اين فهرست خارج كرده است، اما ساير كشورها نسبت به سه ماهه اول تغييري نداشته اند. ترافيك حمله نسبت به سه ماهه گذشته از تمركز بيشتري برخوردار بوده است، سه كشور برتر فهرست مسئول نزديك به 70% حملات مشاهده شده بوده اند، و ده كشور برتر، منبع نزديك به 90% از حملات مشاهده شده هستند.
ترافيك حمله شبكه هاي موبايل، پورتهاي برتر
در سه ماهه دوم 2011، 9 پورت از 10 پورت برتر هدف ترافيك حمله شبكه هاي موبايل مانند سه ماهه اول اين سال بودند. در سه ماهه دوم، پورت 5900 (پورت VNC Server) به اين فهرست بازگشته و جايگزين پورت 443 (پورت HTTPS/SSL) شده است كه دقيقا عكس جايگزيني صورت گرفته در سه ماهه اول است. همانطور كه در شكل بعد ملاحظه ميگردد، ترافيك حمله تقريبا نسبت به آنچه در سه ماهه اول مشاهده شده، ثابت باقي مانده است، پورت 445 مسئول 79، از حملات مشاهده شده (در سه ماهه اول اين ميزان 80% بود)، و 10 پورت برتر مسئول بيش از 97% از حملات مشاهده شده بوده اند. در نگاهي عميقتر به پورتهاي برتر هدف در 10 كشور برتر توليد كننده ترافيك حمله شبكه هاي موبايل، به اين نتيجه ميرسيم كه چين تنها كشوري است كه پورت 445 در آن، مهمترين پورت هدف نبوده است و نيز بخش عمده حملات نشأت گرفته از ايتاليا، بر روي پورتهاي 445 و 23 قرار داشته اند.
همانطور كه در گزارشات پيشين نيز اشاره شد، محققان بر اين عقيده هستند كه ترافيك حمله مشاهده شده نشأت گرفته از شبكه هاي موبايل شناخته شده، احتمالا توسط كلاينتهاي PC آلوده توليد ميشود كه از طريق تكنولوژيهاي پهن باند موبايل، به شبكه هاي بيسيم متصل ميشوند و اين ترافيك، توسط تلفنهاي هوشمند يا ساير دستگاههاي مشابه موبايل توليد نميشود.
- 5