وضعيت اينترنت در سه‌ماهه سوم 2012

IRCRE201301126
تاريخ: 9/11/91

شركت Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر مي­كند. در اين مطالعه، داده‌هايي از سراسر دنيا جمع‌آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله‌ها، سرعت اينترنت و غيره منتشر مي­شود. اين شركت به تازگي گزارش خود را درباره سه‌ماهه سوم سال 2012 منتشر كرده است. در ادامه، خلاصه‌اي از مهم­ترين بخش­هاي امنيتي اين گزارش را مطالعه مي­كنيد.

ترافيك حمله، كشورهاي برتر مبدأ حملات
در طول سه‌ماهه سوم 2012، Akamai مشاهده كرده است كه ترافيك حمله از 180 كشور/ منطقه يكتا نشأت گرفته است كه اين تعداد در سه‌ماهه پيش از آن، 188 كشور بود. همان‌طور كه در شكل زير مشاهده مي‌كنيد، چين همچنان مبداء بيشترين حجم ترافيك حمله است و مسئول تقريبا يك سوم از كل حملات به حساب مي‌آيد كه نسبت به سه‌ماهه دوم 2012 دو برابر شده است. ايالات متحده با افزايش كمي در ترافيك حمله در مكان دوم باقي مانده و منشاء 13% از حملات مشاهده شده در سه‌ماهه سوم مي‌باشد. 10 كشور برتر توليد كننده ترافيك حمله نسبت به سه‌ماهه پيش از آن تغييري نكرده‌اند و در اين ميان، جاي 7 كشور در اين فهرست هيچ تغييري نكرده است. تركيه، روسيه و تايوان تنها كشورهايي بوده‌اند كه در اين فهرست تغيير مكان داده‌اند. تنها كشورهاي ايالات متحده و چين شاهد افزايش ترافيك حمله در اين سه‌ماهه بوده‌اند كه افزايش ترافيك حمله چين نسبت به سه‌ماهه دوم قابل توجه بوده است.
در بررسي توزيع منطقه‌اي ترافيك حمله مشاهده شده در سه‌ماهه سوم، به اين نتيجه مي‌رسيم كه نزديك به 51% از حملات از منطقه آسيا/ اقيانوسيه، كمتر از 25% از اروپا، 23كمي بيش از 23% از آمريكاي شمالي و جنوبي و فقط كمي بيش از 1% از آفريقا نشأت گرفته‌اند. بر خلاف كاهش مشاهده شده در سه‌ماهه دوم، منطقه آسيا/ اقيانوسيه تنها منطقه‌اي در سه‌ماهه سوم بوده است كه ترافيك حمله آن (با توجه به دو برابر شدن ترافيك حمله چين) در اين سه‌ماهه افزايش معناداري داشته است.

ترافيك حمله، پورت­هاي برتر
همان‌طور كه در شكل بعد مشاهده مي‌كنيد، تمركز ترافيك حمله در ميان 10 پورت برتر هدف حملات در طول سه‌ماهه سوم 2012 مجدداً كاهش يافته است و از 77% در سه‌ماهه اول، به 62% در سه‌ماهه دوم و سپس 59% در سه‌ماهه سوم رسيده است. درصد حملاتي كه پورت 445 را هدف قرار مي‌دهند در اين سه‌ماهه باز هم كاهش يافته است، البته اين ميزان به اندازه كاهش مشاهده شده در فاصله سه‌ماهه‌هاي اول و دوم نبوده است.
پورت 445 بيشترين هدف حملات در 8 كشور از 10 كشور برتر توليد كننده حملات بوده است و در روماني، 109 برابر پورت پس از خود هدف حملات قرار گرفته است. (به نظر مي‌رسد كه در روماني تمركز حملات بر اين پورت همچنان در حال افزايش است) پورت 23 در حملات نشأت گرفته از تركيه در صدر هدف حملات قرار دارد و كمتر از 5 برابر پورت بعدي (445) در اين كشور هدف حملات قرار گرفته است. در چين، پورت 1433 مجدداً بيشترين هدف حملات بوده است، و فقط كمتر از 1.6 برابر پورت پس از خود (3389) در اين كشور هدف حملات قرار گرفته است. پورت 23 دومين پورت هدف حملات در ده كشور برتر بوده است و در كشورهاي روسيه، تايوان، روماني و هند نيز دومين مكان جدول پورت‌هاي هدف حملات را به خود اختصاص داده است. در ايالات متحده و برزيل، پورت 80 دومين پورت برتر هدف حملات بوده است، در حاليكه در چين و كره جنوبي، اين مكان به پورت 3389 اختصاص يافته است.

عمليات ابابيل
در 18 سپتامبر 2012، گروهي كه خود را «جنگجويان سايبري عزالدين قسام» مي‌ناميدند، اعلاميه‌اي را بر روي سايت Pastebin.com منتشر كردند و اعلام كردند كه به تعدادي از بانك‌هاي ايالات متحده حمله خواهند كرد. ادعا شد كه اين حملات در پاسخ به فيلم اهانت آميز به پيامبر اسلام انجام مي‌شوند كه منجر به اعتراضات متعددي در خاور ميانه نيز شده بود. هدف مهاجمان اين بود كه به حمله به بانك‌ها و مؤسسات مالي تا زماني كه اين فيلم موهن از روي اينترنت حذف گردد، ادامه دهند. اين حملات توسط مهاجمان «عمليات ابابيل» ناميده شد.
مدل اين حملات ثابت بود: هر دوشنبه مطلبي در Pastebin.com قرار مي‌گرفت كه اعلام مي‌كرد كدام بانك‌ها هدف قرار خواهند گرفت. سپس حملات روز سه‌شنبه آغاز شده و تا بعد از ظهر پنجشنبه ادامه مي‌يافت. اولين سري اين حملات (فاز 1) بين 18 سپتامبر و 28 اكتبر 2012 اتفاق افتاد و دومين سري (فاز 2) نيز در روز 10 دسامبر 2012 آغاز شد.
Akamai در محافظت از بخشي از اين بانك‌ها و مؤسسات مالي سهيم بود. حملات مشاهده شده داراي ويژگي‌هاي زير بودند:

• بخش عمده‌اي از ترافيك حمله، سرورهاي نام دامنه‌اي را هدف قرار مي‌دادند كه براي سرويس‌هاي ارزش افزوده DNS استفاده مي‌شوند.
• ترافيك حمله بر روي زيرساخت DNS اين شركت شامل هر دو نوع ترافيك UDP و TCP بود كه سعي مي‌كرد با درخواست‌هاي مشكوك، بار زيادي را بر روي سرورها و شبكه‌هاي مرتبط اعمال نمايد.
• بخش عمده‌اي از ترافيك حمله در تلاش براي افزايش بار سرورهاي وب، صفحات وب معتبر را از سايت‌هاي مشتريان Akamai با استفاده از HTTP و HTTPS درخواست مي‌كرد.
• بخشي از ترافيك حمله از بسته‌هاي به درد نخور (junk) تشكيل شده بود كه توسط سرورهاي Akamai دور انداخته مي‌شد.
• بخشي از ترافيك حمله از حجم زيادي از درخواست‌هاي HTTP به بخش‌هاي دايناميك سايت‌ها تشكيل شده بود.

حجم ترافيك حمله مشاهده شده در طول اين حملات، 60 برابر بزرگ‌تر از بزرگ‌ترين حجم ترافيكي بود كه Akamai پيش‌تر در ساير حملات مشابه مشاهده كرده بود. به‌علاوه، اين ترافيك حمله نسبت به تجارب قبلي همگن‌تر بود.
پس از تحقيقات مشخص شد كه سيستم‌هاي مهاجم، اعضاي بت‌نتي متشكل از سرورهاي اجرا كننده itsoknoproblembro و ساير جعبه ابزارهاي سوء استفاده هستند. اين بت‌نت اكنون با نام BroBot شناخته مي‌شود.

مطالب مرتبط:
وضعيت اينترنت در سه ماهه دوم 2012