وضعيت اينترنت در سه ماهه اول 2012

IRCRE201208108
تاريخ: 25/05/91

شركت Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر مي­كند. در اين مطالعه، داده هايي از سراسر دنيا جمع آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله ها، سرعت اينترنت و غيره منتشر مي­شود. اين شركت به تازگي گزارش خود را درباره سه ماهه اول سال 2012 منتشر كرده است. در ادامه، خلاصه اي از مهم­ترين بخش­هاي امنيتي اين گزارش را مطالعه مي­ كنيد.

ترافيك حمله، كشورهاي برتر مبداء حملات
در طول سه ماهه اول سال 2012، Akamai شاهد ترافيك حمله از 182 كشور/ منطقه يكتا بوده است كه اين تعداد در سه ماهه قبل، 187 كشور بود. اندونزي پس از اينكه در سه ماهه هاي گذشته در ميان سه كشور برتر مبداء حملات قرار گرفته بود، در اين سه ماهه به مكان بيستم جدول نقل مكان كرده است. با حذف اندونزي از ده كشور برتر مبداء حملات، آلمان به مكان دهم اين جدول بازگشته است و مسئول كمتر از 2 درصد از ترافيك حمله مشاهده شده بوده است. صرف نظر از آلمان، 9 كشور ديگر اين فهرست نسبت به سه ماهه چهارم 2011 ثابت باقي مانده اند. در اين سه ماهه درصد ترافيك حمله مشاهده شده از كشورهاي چين، ايالات متحده آمريكا، روسيه، تركيه، روماني و آلمان با افزايش روبرو بوده است. اين در حالي است كه تايوان، كره جنوبي و برزيل شاهد كاهش درصد ترافيك حمله بوده اند.
در بررسي توزيع منطقه اي ترافيك حمله مشاهده شده در سه ماهه اول، مشاهده مي­گردد كه بيش از 42 درصد از حملات از منطقه آسيا/ اقيانوسيه، 35 درصد از اروپا، 21 درصد از آمريكاي شمالي و جنوبي و فقط كمتر از 1.5 درصد از آفريقا نشأت گرفته اند.

ترافيك حمله، پورت­هاي برتر
همانطور كه در جدول زير مشاهده مي­شود، تمركز ترافيك حمله در ميان ده پورت برتر اندكي در سه ماهه اول 2012 افزايش يافته است و اين پورت­ها مسئول 77 درصد از حملات مشاهده شده هستند، كه اين ميزان در سه ماهه آخر سال 2011 برابر با 62 درصد بود. به نظر مي­رسد كه اين افزايش تا حد زيادي به رشد قابل توجه در درصد حملاتي كه پورت 445 را هدف قرار داده اند مرتبط باشد. اين پورت پيش از اين براي چندين سه ماهه متوالي شاهد كاهش حملات بود. همانطور كه در گزارش­هاي پيشين نيز اشاره شده بود، پورت 445 با كرم Conficker در ارتباط است كه در اوايل سال 2009 هشدارهاي جدي را ايجاد كرده بود. علي رغم اصلاحيه هاي مايكروسافت و فعاليت­هاي گروه كاري Conficker، به نظر مي­رسد كه بت نت اين كرم همچنان به طور فعال به آلوده كردن سيستم­هاي كاربران ادامه مي­دهد. بر اساس گزارشي از مايكروسافت، Conficker تعداد 1.7 ميليون كامپيوتر ويندوز را در سه ماهه چهارم 2011 آلوده كرده بود يا اينكه براي آلوده سازي آن تلاش كرده بود كه اين ميزان صد هزار سيستم از سه ماهه پيش از آن بيشتر بود.
علاوه بر افزايش مشاهده شده در درصد ترافيك حمله مربوط به پورت 445، در مورد پورت 23 (پورت Telnet)، پورت 3389 (پورت Microsoft Terminal Services)، پورت 22 (پورت SSH)، پورت 4899 (پورت Remote Administrator)، پورت 5900 (پورت Virtual Network Computer) و پورت 3306 (پورت MySQL) نيز شاهد افزايش ترافيك حمله بوديم. افزايش مشاهده شده در ميان اغلب اين پورت­ها قابل توجه بوده و از 16 درصد تا 114 درصد متغير بوده است. علت افزايش ترافيك حمله پورت MySQL در سه ماهه اول مي­تواند مربوط به يك آسيب پذيري باشد كه در ماه ژانويه كشف شد. اين آسيب پذيري به مهاجمان اجازه مي­دهد نمونه هاي MySQL اجرا شده بر روي سرورهاي ويندوز مايكروسافت را با ارسال يك بسته خاص به پورت 3306 از كار بيندازند. در ماه مارس، مايكروسافت يك راهنمايي امنيتي در مورد يك آسيب پذيري در نرم افزار Remote Desktop خود منتشر كرد كه مي­تواند با اتصال به پورت 3389 مورد سوء استفاده قرار گيرد. ممكن است تلاش­ها براي سوء استفاده از اين آسيب پذيري، مسئول افزايش ترافيك حمله پورت 3389 باشد.
پورت 445 در ميان 7 كشور از ده كشور برتر توليد كننده ترافيك حمله، در صدر پورت­هاي هدف حملات قرار داشته است. در روماني اين پورت نسبت به پورت بعدي در اين فهرست، 66 برابر بيشتر هدف حملات بوده است. در تركيه و كره جنوبي همچنان پورت 23 پر ترافيك­ترين پورت بوده است، در حالي كه پورت 1433 در حملات نشأت گرفته از چين، هدف برتر بوده است. در ايالات متحده آمريكا، آلمان و برزيل، پورت 80 دومين پورت برتر هدف حملات بوده است. اين مسأله مي­تواند بدان معنا باشد كه مهاجمان به دنبال برنامه هاي وبتني بر وب با آسيب پذيري­هاي شناخته شده مي­گردند تا كنترل سيستم را در دست گرفته يا بدافزار نصب نمايند. در روسيه و تايوان، پورت 23 دومين پورت برتر هدف حملات بوده است. اين مسأله مي­تواند به علت تلاش­ها براي سوء استفاده از كلمات عبور پيش فرض يا معمول باشد كه مجوز دسترسي به يك سيستم را به مهاجمان مي­دهند.

SSL، رمز كننده هاي سمت كلاينت
شكل زير نشان دهنده توزيع رمز كننده هاي SSL ارائه شده توسط كلاينت­هاي وب (معمولا مرورگرها) در طول سه ماهه نخست سال 2012 است. روندهاي استفاده مشاهده شده در اين سه ماهه، كمي با سه ماهه هاي گذشته متفاوت است. AES128-SHA-1 و RC4-MD5-128 هر دو شاهد افزايش بوده اند، در حالي­كه استفاده از ساير رمز كننده ها كاهش داشته است. در سه ماهه هاي گذشته، استفاده از AES256-SHA-1 افزايش يافته بود، در حالي­كه استفاده از RC4-MD5-128 با كاهش مواجه شده بود. مشخص نيست كه چرا استفاده از AES256-SHA-1 در طول اين سه ماهه از 48.6 درصد به 44.8 درصد كاهش يافته است. البته اين كاهش چندان قابل توجه نيست، چراكه اين رمز كننده همچنان به طور گسترده مورد استفاده قرار مي­گيرد و در مجموع به همراه AES128-SHA-1، مسئول نزديك به 85 درصد از استفاده از رمز كننده ها مي­باشند. در ميان ساير رمز كننده ها، استفاده از RC4-SHA-128 از 4.7 درصد به 3.6 درصد، و استفاده از DES-CBC-SHA-168 نيز از 3.1 درصد به 1.9 درصد كاهش يافته است. افزايش مشاهده شده توسط RC4-MD5-128 نيز جزئي بوده و از 10.1 درصد به 10.5 درصد افزايش داشته است، اين در حالي است كه استفاده از AES128-SHA-1 شاهد افزايش بيشتري بوده و از 33.4 درصد به 39.1 درصد افزايش يافته است.

فعاليت حمله انكار سرويس
در ادامه گسترش حملات انكار سرويس، بسياري از مشتريان Akamai نيز در طول سه ماهه اول 2012، حملات انكار سرويس را تجربه كردند. در سه ماهه نخست سال 2012، تيم­هاي پشتيباني Akamai درخواست­هاي كمك براي مقابله با 89 حمله انكار سرويس را دريافت كردند. بررسي اين حملات نشان مي­دهد كه ابزارهايي كه حجم ترافيك كمتري نياز دارند، مانند hashdos و slowloris بيشتر مورد استفاده قرار گرفته اند. اما معمول­ترين بردار، حملات تزريق SQL بوده است كه در صورت موفقيت، نه تنها به طور قابل توجهي بر روي دسترس پذيري سايت­هاي هدف تأثير مي­گذارد، بلكه خطري جدي نيز براي نشت داده ها محسوب مي­شوند.
عمده حملات مشاهده شده (73 درصد) از شبكه هايي در آمريكا نشأت گرفته و شركت­هاي آمريكايي را هدف قرار داده اند. درصد قابل توجهي از حملات (17 درصد) نيز از اروپا و خاور ميانه نشأت گرفته و شركت­هاي اين مناطق و ساير مناطق را هدف قرار داده اند. درصد كمتري از حملات انكار سرويس مشاهده شده در اين مدت، از ناحيه آسيا/ اقيانوسيه نشأت گرفته اند. انتظار مي­رود كه حجم و شدت حملات اين منطقه در طول زمان افزايش يابد.
بررسي­ها نشان مي­دهد كه فروشندگان آنلاين و بخش عمومي (دولتي) هر دو به يك نسبت هدف حملات انكار سرويس قرار گرفته اند و هريك حدود 20 درصد از اين حملات را به خود اختصاص داده اند. ساير حملات انكار سرويس نيز تقريبا به طور مساوي بين رسانه هاي ديجيتال، شركت­ها و مشتريان High Tech توزيع شده است.