هفته قبل حملات اینترنتی به سمت ایران به اوج خود رسید و به گفته مقامات دولتی حتی طی یک هفته دو برابر شده و بنظر میرسد هم چنان امتداد خواهد داشت.
این حملات تمرکز یافته بر نوع DDos( منع سرویس) بوده که هدف از آن از کار انداختن سرویس یا سایت های هدف است. اگرچه در ایران سالها است انواع و اقسام حملات اینترنتی مورد تجربه قرار گرفته و با شیوه هایی با آن مقابله شده ولی حملات اخیر به شکل ، شیوه و در سطحی انجام شده که توان مقابله با آن حتی برای مهم ترین شرکت دولتی حوزه ارتباطات ایران- شرکت ارتباطات زیرساخت- که تمام پهنای باند ایران را در دست خود دارد هم دشوار بوده است.مقامات دولتی می گویند این حملات زیرساخت های اصلی اینترنت (Internet) در کشور را درگیر نکرده و صرفا بعضی کسب و کارها را نشانه رفته، بعضی از مقامات حتی معتقد هستند رقبای داخلی با ایجاد ترافیک خارجی پشت این حملات بوده اند.
با این حال نتیجه این حملات سبب افت قابل توجه کیفیت اینترنت کشور و از کار افتادن مقطعی برخی دیتاسنترها و به پیروی آن سرویس های پرکاربر در این دو هفته شده که ناخشنودی کاربران را به همراه داشته است.اما به چه دلیل شبکه و زیرساخت اینترنت کشور و سپرهای امنیتی مثل« دژفا» قادر به دفع کامل حملات نبوده اند؟ معماری شبکه اینترنت ایران و انحصار واردات پهنای باند تا چه حدی مبارزه با این حملات را مشکل کرده و راهکار های مقابله با این حملات چه از سمت کسب و کارها و چه دولت کجاست؟
حملاتی گسترده تر از قبل
مدل و مقصود حملات D Dos بسیار ساده است:آن قدر ترافیک غیر حقیقی روی هدف سرازیر می کنند تا سایت یا سرویس قربانی از کار بیفتد. این ترافیک ها از نقاط گوناگون سرچشمه می گیرند من جمله کامپیوترهای آ لوده یا دستگاه های متصل به اینترنت- مانند دوربین مداربسته یا بلندگو یا...- و افرادی که کنترل این کامپیوترها یا ابزارها را توسط بدافزارها در اختیار گرفته اند از حجم انبوه ترافیک تولید شده توسط آن ها برای اهداف حملات DDos استفاده می کنند.حملات DDos معمولاً یا پهنای باند تعریف شده برای سایت یا سرویس موردنظر را هدف قرار میدهند یا با افزایش ترافیک، منبع های سرور هدف( مانند CPU) را اشغال می کنند. این حملات منجر به از بین رفتن یا دزدی داده ها نمی شود و در اکثر اوقات خدمات دهندگان اینترنت (Internet) قادر به رفع و رجوع آن هستند.حملات در روزهای گذشته اما به حدی گسترده و وسیع بوده که تمهیداتی حتی در سطح دیتاسنتر هم برای مبارزه با آن کافی نبوده و تمهیداتی در سطح کشور مورد استفاده قرار گرفته که حتی برغم انجام همان تمهیدات کیفیت اینترنت کشور با تنزل قابل توجه روبرو شده است.
رئیس سازمان فناوری اطلاعات هفته گذشته به ایسنا اظهارکرد:این حملات در این سطحی که الان وجود دارد هیچ وقت نبوده و پیک حملات نسبت به کل حداکثر تاریخ قبلی از هفته قبل دوچندان شده است.در موارد قبلی عمدتاً با خارج کردن سرور سایت( بستن سایت یا ip قربانی بطور موقتی) یا استفاده از امکاناتی فنی با ترافیک های جعلی مقابله می کردند. یکی از این امکانات بهره گیری از CDN است که راه حل اصلی مقابله با این چنین حملات است. CDN( شبکه تحلیل محتوا) با توزیع کردن محتوا در نقاط گوناگون دنیا، با حمله متمرکز ترافیک جعلی مقابله می کند.اما در حملات گذشته مستقیما آی پی بعضی شرکتهای خدمات دهنده اینترنت و میزبان سایت( که امکان دارد سرور وب سایت ها یا سرویس های موردنظر حمله کننده را هم میزبانی کنند) مورد حمله قرار گرفته است، حملاتی بی سابقه که گفته می شود دیتاسنترهای ایرانی برای مقابله با آن آماده نبوده اند.نتایج این حملات به تنزل شدید پهنای باند این دیتاسنترها منتهی شده که نتایج آنرا در هفته قبل در وضعیت کیفیت اینترنت شاهد بودیم.
هزینه گران مقابله با حملات
مقابله با حملات در سطح پایین تر عمدتاتوسط شرکت ها و تمهیدات فنی قابل حل است ولی حملات با ترافیک های گسترده و به اصطلاح ترابیتی اساساً قابل تمهید هم نیست. باآنکه هزینه حملات سنگین تر بسیار گران قیمت است ولی حملات کوچک با هزینه بسیار پایین( در حد ۵ دلار برای چند ثانیه) قابل اجرا است. بعضی از سایت هایی که چنین حملاتی را ارائه می کنند حتی از بیت کوین (Bitcoin) بهره می گیرند تا خریدار حقیقی ناشناس بماند.فرهاد فاطمی ناخدای فنی ابرآروان در مورد نحوه مقابله با این حملات به« دنیای اقتصاد» گفت:« در دنیا بعضی شرکت ها با تمهید Scrubbing Center ترافیک آلوده را به اصطلاح از ترافیک واقعی جداسازی می کنند که هم اینک به وسیله شرکت زیرساخت برای اینترنت ایران از چنین مدلی بهره گرفته می شود.»
با این حال معماری شبکه اینترنت ایران به اینگونه است که کلیه پهنای باند اینترنت باید به وسیله یک شرکت( شرکت زیرساخت) خریداری، وارد کشور و توزیع شود.فاطمی می گوید:« راه حل قطعی برای برخی از این حملات در جهان هم وجود ندارد، این حملات انجام می شود و ضررهای هنگفتی می زند. بعضی در دنیا از همان روش Scrubbing Center استفاده می کنند و بعضی دیگر از CDN ولی چون تمامی شرکت های خدمات دهنده و میزبان اینترنت (Internet) در ایران از شرکت زیرساخت خدمات می گیرند، اینترنت سراسر کشور تحتتأثیر قرار می گیرد.» علیرضا شیرازی بنیانگذار بلاگفا و متخصص فنی دیتاسنتر به« دنیای اقتصاد» گفت:حقیقت این است سخت افزارها و چه بسا فایروال های مورد نیاز برای چنین حملاتی در سطح سرویس های بزرگ بسیار گران قیمت است و ما فعلاً تجهیزات مقابله با حملات بسیار گسترده را نداریم.
حمله کنندگان و روش های مقابله
بسیاری از متخصصان می گویند پیدا کردن مهاجمان واقعی و انگیزه های اصلی آنان اصلاً ساده نیست.سجاد بنابی عضو هیأت مدیره زیرساخت در گفتگو با« ایرنا» گفت:احتمال می دهم منشأ این حملات رقبای داخلی کسب وکارها باشند؛ ولی واقعیت این است که عمده ترافیک این حملات از خارج از کشور می آید.علیرضا شیرازی می گوید سخن گفتن از دلیل های پشت پرده و افراد پشت حملات ساده نیست؛ چراکه انگیزه های متعددی میتواند برای این حملات وجود داشته باشد؛ اگرچه حملاتی با انگیزه افت کیفیت اینترنت ایران می تواند انگیزه های فراتر از رقابت های کسب و کار داشته باشد.یک روش ایران برای مقابله با چنین حملاتی خارج کردن دسترسی از خارج از کشور به سایت و سرور مربوطه است. به این شیوه ایران اکسس می گویند که شرکت زیرساخت چنین روشی را در مواردی بکار گرفته است. بنابی، عضو هیأت مدیره زیرساخت به« ایرنا» می گوید:معمولاً وقتی در لایه زیرساخت با حمله مقابله می کنیم احتیاج به قطع اینترنت بین الملل یا دسترسی ایران اکسس داریم، گاهی هم خود سرویس دهنده( به عنوان مثال پارس آنلاین، شاتل و...) چاله سیاهی درست می کنند که ip قربانی را از بیرون کسی نبیند.
پاشنه آشیل ایران در حملات اینترنتی
معماری اینترنت ایران طبق قانون شرکتهای خدمات دهنده را از گرفتن پهنای باند بطور مستقیم از خارج از کشور منع می کند. این خصوصیت طی این سالها سبب شده که شرکت زیرساخت به انحصار پهنای باند متهم شود؛ انحصاری که افزایش قیمت تمام شده اینترنت برای کاربر نهایی یکی از نتایج آن است.حالا این انحصار به پاشنه آشیل اینترنت ایران در رویارویی با این حملات هم منجر شده است. متخصصان معتقد هستند شرایط مطلوب این بود که شرکت ها هرکدام خودشان به پهنای باند دسترسی داشتند از روش ها و شیوه های گوناگون مستقلا به اینترنت وصل می شدند یا حتی از شرکت های مختلف ارائه دهنده خدمات مقابله با DDos سرویس می گرفتند؛ چیزی که احیانا به علت تحریم ها برای شرکت دولتی زیرساخت ساده نیست.
علیرضا شیرازی می گوید:در صورتی که شرکت های اصلی سرویس دهنده در ایران خود به اینترنت متصل بودند در موقع بروز این چنین حمله ای کل شبکه اینترنت کشور دچار افت نمی شد و تنها همان یک شرکت تحتتأثیر حمله قرار می گرفت و از دسترس خارج می شد.حملات اینترنتی ۱۰ روز گذشته آخرین حملات از این دست نخواهد بود. با رشد روز افزون سرویس های اینترنتی و وابسته شدن کاربران به آن حالا تمهیدات جدید و تازه ای مورد نیاز است.
شهرام شریف
- 14
- 3
