پاشنه آشیل ایران در مقابل حملات اینترنتی

این حملات تمرکز یافته بر نوع DDos (منع سرویس) بوده که هدف از آن از کار انداختن سرویس یا سایت‌های هدف است. هرچند در ایران سال‌هاست انواع و اقسام حملات اینترنتی مورد تجربه قرار گرفته و با روش‌هایی با آن مقابله شده اما حملات اخیر به شکل، شیوه‌ و در سطحی انجام شده که توان مقابله با آن حتی برای مهم‌ترین شرکت دولتی حوزه ارتباطات ایران - شرکت ارتباطات زیرساخت- که تمام پهنای باند ایران را در دست خود دارد هم دشوار بوده است.مقامات دولتی می‌گویند این حملات زیرساخت‌های اصلی اینترنت در کشور را درگیر نکرده و صرفا برخی کسب‌و‌کارها را نشانه رفته، برخی از مقامات حتی معتقدند رقبای داخلی با ایجاد ترافیک خارجی پشت این حملات بوده‌اند. با این حال نتایج این حملات باعث افت قابل‌توجه کیفیت اینترنت کشور و از کار افتادن مقطعی برخی دیتاسنترها و به تبع آن سرویس‌های پرکاربر در این دو هفته شده که نارضایتی کاربران را به همراه داشته است.اما چرا شبکه و زیرساخت اینترنت کشور و سپرهای امنیتی مانند «دژفا» قادر به دفع کامل حملات نبوده‌اند؟ معماری شبکه اینترنت ایران و انحصار واردات پهنای باند تا چه اندازه مقابله با این حملات را دشوار کرده و راه‌حل‌های مقابله با این حملات چه از سمت کسب‌و‌کارها و چه دولت کجاست؟

   حملاتی گسترده‌تر از قبل

مدل و هدف حملات D‌Dos بسیار ساده است:‌آنقدر ترافیک غیر‌واقعی روی هدف سرازیر می‌کنند تا سایت یا سرویس قربانی از کار بیفتد. این ترافیک‌ها از نقاط مختلف سرچشمه می‌گیرند از جمله کامپیوترهای آ‌لوده یا دستگاه‌های متصل به اینترنت - مثل دوربین مداربسته یا بلندگو یا... - و افرادی که کنترل این کامپیوترها یا ابزارها را به وسیله بدافزارها در اختیار گرفته‌اند از حجم انبوه ترافیک تولید شده توسط آنها برای اهداف حملات DDos استفاده می‌کنند.حملات DDos معمولا یا پهنای‌باند تعریف شده برای سایت یا سرویس موردنظر را هدف قرار می‌دهند یا با افزایش ترافیک، منابع سرور هدف (مثل CPU) را اشغال می‌کنند. این حملات منجر به از بین رفتن یا سرقت اطلاعات نمی‌شود و در اغلب اوقات خدمات‌دهندگان اینترنت قادر به رفع و رجوع آن هستند.حملات در روزهای اخیر اما آنقدر گسترده و وسیع بوده که تمهیداتی حتی در سطح دیتاسنتر هم برای مقابله با آن کافی نبوده و تمهیداتی در سطح کشور مورد استفاده قرار گرفته که حتی به‌رغم انجام همان تمهیدات کیفیت اینترنت کشور با افت قابل‌توجه روبه‌رو شده است.

رئیس سازمان فناوری اطلاعات هفته گذشته به ایسنا گفت: این حملات در این سطحی که الان وجود دارد هیچ وقت نبوده و پیک حملات نسبت به کل ماکزیمم تاریخ قبلی از هفته قبل دوبرابر شده است.در موارد قبلی عمدتا با خارج کردن سرور سایت (مسدود کردن سایت یا آی پی قربانی به‌طور موقت) یا استفاده از امکاناتی فنی با ترافیک‌های جعلی مقابله می‌کردند. یکی از این امکانات بهره‌گیری از CDN است که راهکار اصلی مقابله با اینگونه حملات است. CDN (شبکه تحلیل محتوا) با توزیع کردن محتوا در نقاط مختلف جهان، با حمله متمرکز ترافیک جعلی مقابله می‌کند.اما در حملات اخیر مستقیما آی‌پی برخی شرکت‌های خدمات‌دهنده اینترنت و میزبان سایت (که ممکن است سرور وب‌سایت‌ها یا سرویس‌های موردنظر حمله‌کننده را هم میزبانی کنند) مورد حمله قرار گرفته است، حملاتی بی‌سابقه که گفته می‌شود دیتاسنترهای ایرانی برای مقابله با آن آماده نبوده‌اند.نتایج این حملات به افت شدید پهنای باند این دیتاسنترها منجر شده که نتایج آن را در هفته گذشته در وضعیت کیفیت اینترنت شاهد بودیم.

   هزینه گران مقابله با حملات

مقابله با حملات در سطح پایین‌تر عمدتاتوسط شرکت‌ها و تمهیدات فنی قابل‌حل است اما حملات با ترافیک‌های گسترده و به اصطلاح ترابیتی اساسا قابل‌تمهید هم نیست. هرچند هزینه حملات سنگین‌تر بسیار گران است اما حملات کوچک با هزینه بسیار پایین (در حد ۵ دلار برای چند ثانیه) قابل‌انجام است. برخی از سایت‌هایی که چنین حملاتی را ارائه می‌کنند حتی از بیت‌کوین بهره می‌گیرند تا خریدار واقعی ناشناس بماند.فرهاد فاطمی ناخدای فنی ابرآروان درباره نحوه مقابله با این حملات به «دنیای‌اقتصاد» گفت: «در دنیا برخی شرکت‌ها با تمهید Scrubbing Center ترافیک آلوده را به اصطلاح از ترافیک واقعی تفکیک می‌کنند که هم‌اکنون توسط شرکت زیرساخت برای اینترنت ایران از چنین مدلی بهره گرفته می‌شود.»

با این حال معماری شبکه اینترنت ایران به این‌گونه است که کلیه پهنای باند اینترنت باید توسط یک شرکت (شرکت زیرساخت) خریداری، وارد کشور و توزیع شود.فاطمی می‌گوید: «راهکار قطعی برای برخی از این حملات در دنیا هم وجود ندارد، این حملات انجام می‌شود و ضررهای هنگفتی می‌زند. برخی در دنیا از همان روش Scrubbing Center استفاده می‌کنند و برخی دیگر از CDN اما چون همه شرکت‌های خدمات‌دهنده و میزبان اینترنت در ایران از شرکت زیرساخت خدمات می‌گیرند، اینترنت کل کشور تحت‌تاثیر قرار می‌گیرد.»علیرضا شیرازی بنیانگذار بلاگفا و متخصص فنی دیتاسنتر به «دنیای‌اقتصاد» گفت: واقعیت این است سخت‌افزارها و حتی فایروال‌های مورد نیاز برای چنین حملاتی در سطح سرویس‌های بزرگ بسیار گران است و ما فعلا تجهیزات مقابله با حملات بسیار گسترده را نداریم.

   حمله‌کنندگان و روش‌های مقابله

بسیاری از متخصصان می‌گویند یافتن مهاجمان واقعی و انگیزه‌های اصلی آنان اصلا ساده نیست.سجاد بنابی عضو هیات‌مدیره زیرساخت در گفت‌وگو با «ایرنا» گفت: احتمال می‌دهم منشأ این حملات رقبای داخلی کسب‌وکارها باشند؛ اما واقعیت این است که عمده ترافیک این حملات از خارج از کشور می‌آید.علیرضا شیرازی می‌گوید سخن گفتن از دلایل پشت پرده و افراد پشت حملات ساده نیست؛ چراکه انگیزه‌های متعددی می‌تواند برای این حملات وجود داشته باشد؛ هرچند حملاتی با انگیزه افت کیفیت اینترنت ایران می‌تواند انگیزه‌های فراتر از رقابت‌های کسب‌و‌کار داشته باشد.یک روش ایران برای مقابله با چنین حملاتی خارج کردن دسترسی از خارج از کشور به سایت و سرور مربوطه است. به این روش ایران اکسس می‌گویند که شرکت زیرساخت چنین روشی را در مواردی به کار گرفته است. بنابی، عضو هیات‌مدیره زیرساخت به «ایرنا» می‌گوید: معمولا وقتی در لایه زیرساخت با حمله مقابله می‌کنیم نیاز به قطع اینترنت بین‌الملل یا دسترسی ایران اکسس داریم، گاهی هم خود سرویس‌دهنده (مثلا پارس آنلاین، شاتل و...) چاله سیاهی درست می‌کنند که آی‌پی قربانی را از بیرون کسی نبیند.

   پاشنه آشیل ایران در حملات اینترنتی

معماری اینترنت ایران بر اساس قانون شرکت‌های خدمات دهنده را از گرفتن پهنای باند به‌طور مستقیم از خارج از کشور منع می‌کند. این ویژگی طی این سال‌ها باعث شده که شرکت زیرساخت به انحصار پهنای باند متهم شود؛ انحصاری که افزایش قیمت تمام‌شده اینترنت برای کاربر نهایی یکی از نتایج آن است.حالا این انحصار به پاشنه آشیل اینترنت ایران در مقابله با این حملات هم منجر شده است. متخصصان معتقدند وضعیت ایده‌آل این بود که شرکت‌ها هرکدام خودشان به پهنای باند دسترسی داشتند از روش‌ها و شیوه‌های مختلف مستقلا به اینترنت متصل می‌شدند یا حتی از شرکت‌های مختلف ارائه‌دهنده خدمات مقابله با DDos سرویس می‌گرفتند؛ چیزی که احتمالا به دلیل تحریم‌ها برای شرکت دولتی زیرساخت ساده نیست.علیرضا شیرازی می‌گوید: در صورتی که شرکت‌های اصلی سرویس دهنده در ایران خود به اینترنت متصل بودند در هنگام بروز چنین حمله‌ای کل شبکه اینترنت کشور دچار افت نمی‌شد و تنها همان یک شرکت تحت‌تاثیر حمله قرار می‌گرفت و از دسترس خارج می‌شد.حملات اینترنتی ۱۰ روز اخیر آخرین حملات از این دست نخواهد بود. با رشد روزافزون سرویس‌های اینترنتی و وابسته شدن کاربران به آن حالا تمهیدات جدید و تازه‌ای مورد نیاز است.