IRCRE201205097
تاريخ: 18/02/91
شركت Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر ميكند. در اين مطالعه، داده هايي از سراسر دنيا جمع آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله ها، سرعت اينترنت و غيره منتشر ميشود. اين شركت به تازگي گزارش خود را درباره سه ماهه چهارم سال 2011 منتشر كرده است. در ادامه، خلاصه اي از مهمترين بخشهاي امنيتي اين گزارش را مطالعه مي كنيد.
امنيت
در طول چهارمين سه ماهه سال 2011، Akamai شاهد ترافيك حمله نشأت گرفته از 187 كشور/ منطقه يكتا بوده است. چين منشأ برتر ترافيك حملات بوده و مسئوليت 13% از كل ترافيك حمله مشاهده شده را بر عهده داشته است. ايالات متحده آمريكا و اندونزي نيز به ترتيب مكانهاي دوم و سوم را به خود اختصاص داده اند و در مجموع، مسئول 17% از ترافيك حمله مشاهده شده بوده اند. تمركز ترافيك حملات كمي نسبت به سه ماهه سوم 2011 كاهش داشته و 10 پورت برتر، صرفا 62% از ترافيك حمله را مشاهده كرده اند. حملاتي كه پورت 1433 (پورت Microsoft SQL Server) را هدف قرار داده اند بيش از سه برابر نسبت به سه ماهه قبل افزايش يافته اند، در حاليكه حملاتي كه پورتهاي 8080 و 9514 را هدف گرفته اند، در همين مدت بيش از 4 برابر شده اند.
ترافيك حمله، كشورهاي مبدأ حملات
در طول سه ماهه چهارم 2011، Akamai شاهد ترافيك حمله نشأت گرفته از 187 كشور/ منطقه يكتا بوده است كه اين تعداد در سه ماهه سوم، 195 كشور بود. پس از اينكه اندونزي در سه ماهه سوم به صدر كشورهاي مبدأ حملات جهش كرد و مسئوليت 14% از ترافيك حمله را پذيرا شد، در اين سه ماهه به مكان سوم نقل مكان كرده و درصد ترافيك حمله آن نيز تقريبا به نصف رسيده است. مصر در اين سه ماهه از فهرست ده كشور برتر خارج شده و جاي خود را به تركيه داده است كه درصد ترافيك حمله خود را سه برابر كرده است. تغييرات در ترافيك حملات در ميان 10 كشور برتر مبدأ حملات در سه ماهه چهارم به شكلي بوده است كه كشورهاي چين، ايالات متحده آمريكا، تركيه، كره جنوبي و روماني، همگي مسئول درصدهاي بالاتري از ترافيك حملات در مقايسه با سه ماهه پيش از آن بوده اند، در حاليكه اندونزي، تايوان، روسيه، برزيل و هند در مقايسه مشابه، درصدهاي كمتري را به خود اختصاص داده اند.
در بررسي توزيع قاره اي ترافيك حملات در سه ماهه چهارم، به اين نتيجه ميرسيم كه بيش از 45% از اين ترافيك از منطقه آسيا/ اقيانوسيه، نزديك به 33% از اروپا، كمتر از 20% از آمريكاي شمالي و جنوبي و بقيه نيز از آفريقا نشأت گرفته اند.
ترافيك حمله، پورتهاي هدف حملات
تمركز ترافيك حملات در ميان 10 پورت برتر هدف حملات به كاهش خود ادامه داده است و اين 10 پورت هدف 65% از حملات مشاهده شده بوده اند (اين ميزان در سه ماهه سوم 68% و در سه ماهه دوم 70% بوده است). درصد ترافيك پورت 445 نيز همچنان كاهش مي يابد. علاوه بر پورت 445، پورت 23 (پورت Telnet)، پورت 443 (پورت HTTPS/SSL) و پورت 135 (پورت Microsoft-RPC) نيز شاهد كاهش ترافيك در اين سه ماهه بوده اند كه البته كاهش ترافيك هيچيك به اندازه پورت 445 نبوده است. پورت 1433 (پورت Microsoft SQL Server) شاهد افزايش قابل توجهي (بيش از سه برابر) در درصد ترافيك خود بوده است، در حاليكه ترافيك پورتهاي 8080 و 9415 بيش از 4 برابر افزايش داشته است.
به نظر ميرسد كه پورت 8080 با آسيب پذيريهايي در Cisco Unified Communications Manager و Cisco Unified Contact Center Express1 products و نيز محصولات بدون اصلاحيه يا ناامن JBoss Application Servers در ارتباط است. اگرچه شاهد خاصي بر اين مدعا وجود ندارد، ولي اين دو، دو هدف مهم اين حملات بوده اند. اگرچه پورت 9415 به طور رسمي با يك پروتكل يا برنامه خاص در ارتباط نيست، ولي به نظر ميرسد كه با يك پروكسي مورد استفاده نرم افزار چيني جريان سازي ويدئو به نام PPLive مرتبط باشد. يك نقص امنيتي در اين نرم افزار به آن اجازه ميدهد كه به عنوان يك پروكسي باز بر روي پورت 9415 مورد استفاده قرار گيرد، در نتيجه افزايش در حملاتي كه اين پورت را هدف گرفته اند ميتواند به علت جستجوي بدافزار به دنبال پروكسيهاي باز بر روي اين پورت باشد كه ميتواند براي پنهان كردن ردپاي بدافزار به كار رود.
اگرچه درصد حملاتي كه پورت 23 (پورت Telnet) را هدف گرفته اند اندكي نسبت به سه ماهه سوم كاهش يافته است، ولي اين پورت همچنان با فاصله قابل توجهي نسبت به ساير پورتها، هدف برتر حملات نشأت گرفته از كره جنوبي و تركيه است، به شكلي كه اين پورت بيش از 5 برابر پورت بعدي (يعني پورت 445) هدف حملات قرار گرفته است. در چين نيز پورت 1433 (پورت Microsoft SQL Server) بيش از 2 برابر پورت بعدي خود هدف حملات قرار گرفته است، در حاليكه در اندونزي، پورت 80 (پورت WWW/HTTP) بيش از 3 برابر پورت بعدي خود هدف حملات قرار گرفته است.
SSL، رمزگذاري سمت كلاينت
پلتفوم هوشمند Akamai به ميليونها درخواست در ثانيه براي محتواي امن بر روي HTTPS/SSL (پورت 443) سرويس دهي مينمايد. اين حجم زياد ترافيك رمز شده، يك پرسپكتيو يكتا از رمز كننده هاي مشهور SSL سمت كلاينت و نيز روندهاي استفاده از آنها در طول زمان به دست ميدهد. آمار ارائه شده در اين بخش مربوط به SSLv3 و TLSv1 است.
شكل زير نشان دهنده از كار افتادگي رمز كننده هاي SSL ارائه شده توسط كلاينتهاي وب (معمولا مرورگرها) در طول سه ماهه چهارم 2011 است. در حاليكه تغييرات كوچكي را ميتوان در اين سه ماهه مشاهده كرد، ولي روندهاي سه ماهه اي براي 5 رمز كننده مشهور SSL با سه ماهه قبل از آن تقريبا مشابه است. استفاده از AES256-SHA-1 و AES128-SHA-1 كه به نظر امنتر مي آيند، كمي در سه ماهه چهارم افزايش يافته است، AES256-SHA-1 از 47.9% در سه ماهه سوم به 48.7% در اين سه ماهه رسيده است و AES128-SHA-1 از 32.5% در سه ماهه سوم، به 33.4% در اين سه ماهه افزايش يافته است. اما نرخ افزايش اين دو رمز كننده نسبت به سه ماهه سوم با كاهش روبرو بوده است. استفاده از DES-CBCSHA-168، RC4-SHA-128 و RC4-MD5-128 به ترتيب 15%، 7.5% و 5.6% كاهش يافته است.
ترافيك حمله شبكه هاي موبايل، كشورها و مناطق مبدأ حملات
در بازبيني داده هاي ارائه شده در شكل بعد به اين نتيجه ميرسيم كه در سه ماهه چهارم 2011، ايتاليا همچنان مسئول بيشترين ترافيك حمله شبكه هاي موبايل است. البته درصد ايتاليا نسبت به سه ماهه سوم نزديك به 25% كاهش داشته است، در حاليكه درصد شيلي نيز نزديك به 20% كاهش يافته است. درصد مربوط به ساير كشورهاي فهرست ده كشور برتر مبدأ حملات موبايل، در اين سه ماهه افزايش داشته است كه در اين ميان، چين با 77% افزايش، بيشترين رشد را به خود اختصاص داده است.
فهرست ده كشور/منطقه برتر مبدأ حملات موبايل نسبت به سه ماهه سوم تغييري نداشته است. علاوه بر اين، 78% از ترافيك حمله شبكه هاي موبايل از اين ده كشور نشأت گرفته است و اين به معناي تمركز بيشتر حملات در ميان اين فهرست نسبت به سه ماهه سوم است، سه كشور نخست اين فهرست مسئول 42% از ترافيك حملات بوده اند كه نسبت به سه ماهه پيش از آن، تقريبا به نصف رسيده است.
ترافيك حمله شبكه هاي موبايل، پورتهاي هدف حملات
در سه ماهه چهارم 2011، فهرست ده پورت برتر هدف حملات شبكه هاي موبايل تقريبا مشابه سه ماهه سوم بود، با اين تفاوت كه پورت 8080 (پورت HTTP Alternate) جاي پورت 4899 (پورت Remote Administrator) را گرفته است. همانطور كه در شكل بعد ملاحظه ميگردد، پورت 445 (Microsoft-DS) همچنان هدف بخش زيادي از حملات مشاهده شده است. همچنين پورت 23 (پورت Telnet) حدود 10% و پورت 5900 (پورت VNC Server) حدود 25% كاهش ترافيك داشته اند. تمركز حملات در سه ماهه چهارم اندكي افزايش داشته است و بيش از 97% از حملات، ده پورت برتر را هدف گرفته اند.
همانطور كه در گزارشهاي پيشين ملاحظه كرده ايم، اعتقاد متخصصان بر اين است كه ترافيك حمله نشأت گرفته از شبكه هاي شناخته شده موبايل احتمالا توسط كلاينتهاي PC آلوده متصل به شبكه هاي بيسيم از طريق تكنولوژي پهن باند موبايل ايجاد شده است و نه توسط تلفنهاي هوشمند يا دستگاههاي مشابه موبايل.
مطالب مرتبط:
وضعيت اينترنت در سه ماهه سوم 2011
- 3