ماجرای ۳۶ گیگ مزاحمت در ثانیه چیست؟

شرکت ارتباطات زیرساخت اخیراً گزارشی منتشر کرده که نشان می‌دهد پاییز 1403، شلوغ‌کن‌های سایبری روز‌های پرتلاطمی را برای زیرساخت‌های ایران رقم‌ زده‌اند. در این گزارش به آمار و ارقامی پرداخته شده که شاید به‌تنهایی جذاب به نظر نرسند؛ اما اگر دقیق‌تر نگاه کنیم داستان جذابی از نبرد نامرئی بین مهاجمان سایبری و متخصصان امنیتی کشور در دل خود دارند.

«DDoS» نام این دسته از حملات سایبری است که آن را «حمله منع خدمت توزیع‌شده» ترجمه می‌کنند. برای درک کارکرد بهتر از این حملات یک فروشگاه را در نظر بگیرید که همیشه شلوغ است. حالا تصور کنید عده‌ای بخواهند کاری کنند که مشتری‌های واقعی نتوانند خرید کنند. برای این کار هزاران نفر را می‌فرستند که وارد فروشگاه شوند، قفسه‌ها را اشغال کنند، جلوی در صف بکشند و اجازه ندهند هیچ‌کس دیگر وارد شود. فروشگاه پر از آدم می‌شود؛ اما هیچ‌کدام چیزی نمی‌خرند و فقط مانع کار بقیه می‌شوند. 

«DDoS» دقیقاً همین کار را در دنیای اینترنت انجام می‌دهد. مهاجمان با استفاده از تعداد زیادی دستگاه آلوده مثل کامپیوتر‌ها، موبایل‌ها یا حتی دستگاه‌های هوشمند خانگی حجم زیادی از درخواست‌های جعلی را به یک سرور یا سایت ارسال می‌کنند. این حجم انبوه باعث می‌شود که سرور شلوغ شود و نتواند به کاربران واقعی پاسخ بدهد. 

هدف «DDoS» این است که خدمات یک وب‌سایت، فروشگاه آنلاین یا سرویس اینترنتی از دسترس خارج شود یا به‌شدت کند شود. مثل همان فروشگاهی که به‌جای فروش فقط درگیر جمعیت غیرواقعی شده و مشتری‌های واقعی پشت در مانده‌اند. درهرحال قربانی اصلی کاربران واقعی‌اند که نمی‌توانند از خدمات استفاده کنند. این حملات که میانگین آن‌ها به 635 حمله در روز می‌رسید، هر دو دقیقه یک‌بار رخ می‌دادند و مانند سیلی از داده‌های جعلی به سمت سرور‌ها روانه می‌شدند.

نکته شگفت‌انگیز حجمی بود که این حملات ایجاد کردند؛ در هر ثانیه 36.4 گیگابایت ترافیک جعلی به سرور‌ها ارسال شد. این رقم معادل هزاران مشتری غیرواقعی است که به‌طور هم‌زمان وارد فروشگاه شوند و همه چیز را مختل کنند؛ اما پشت این شلوغی‌ها چه کسانی بودند؟ بررسی‌ها نشان داد 35 درصد از این حملات توسط شبکه‌ای از دستگاه‌های آلوده انجام شده است. این دستگاه‌ها شامل کامپیوتر‌ها، تلفن‌های هوشمند و حتی دوربین‌های امنیتی هک ‌شده بودند که با هماهنگی مهاجمان مانند ارتشی از شلوغ‌کن‌ها عمل کردند. 

در پاییز هر دو دقیقه یک حمله انجام شده است

حملات منع خدمت توزیع‌شده یا همان «DDoS» یکی از پیچیده‌ترین چالش‌های دنیای دیجیتال امروز است. این حملات، شبیه به سیلی عظیم از داده‌های جعلی، زیرساخت‌های اینترنتی را هدف قرار می‌دهند تا دسترسی کاربران واقعی را مختل کنند. پاییز 1403 شاهد موج گسترده‌ای از این حملات بود که توانست زیرساخت‌های ایران را به‌شدت تحت‌تأثیر قرار دهد. این دوره زمانی با میانگین روزانه 635 حمله سایبری همراه بود. اگر این عدد را در نظر بگیریم تقریباً هر دو دقیقه یک‌بار یک حمله انجام شده است. 

در طول این سه ماه، بیش از 57 هزار حمله شناسایی و دفع شد. این رقم نشان‌دهنده حجم بالای تهدید‌هایی است که زیرساخت‌های کشور با آن روبه‌رو بوده‌اند. برخی از این حملات بسیار کوتاه و در حد چند دقیقه بودند، اما بعضی از آن‌ها مثل یک دعوای طولانی‌مدت ادامه یافتند؛ به‌عنوان مثال، طولانی‌ترین حمله در این دوره، 4 روز و 9 ساعت و 50 دقیقه طول کشید. یعنی حدود 106 ساعت شلوغ‌کاری مداوم علیه یک سرویس! نکته جالب توجه این است که در یک بازه زمانی، 148 حمله به‌طور هم‌زمان رخ داد. تصور کنید که چنین حجمی از حملات نیازمند دفاعی سنگین و دقیق بود. برای خنثی‌کردن این حملات هم‌زمان، بیش از 707 گیگابیت بر ثانیه ترافیک دفاعی تولید شد و متخصصان مجبور شدند 171.6 میلیون بسته داده را بررسی کنند. 

کسب‌وکار‌ها هدف 17 درصد از حملات

یکی از دلایل اصلی شدت این حملات استفاده مهاجمان از شبکه‌ای از دستگاه‌های آلوده بود که به‌عنوان یک دستگاه آلوده (bot pool) شناخته می‌شود. این دستگاه‌ها که ممکن است شامل کامپیوتر‌های شخصی، تلفن‌های همراه و حتی دستگاه‌های هوشمند خانگی مانند دوربین‌های امنیتی باشند که توسط بدافزار‌ها آلوده شده و به‌عنوان ابزار مهاجمان برای تولید ترافیک جعلی استفاده می‌شوند. بررسی‌ها نشان می‌دهد که 35 درصد حملات توسط این شبکه‌های آلوده انجام شده‌اند. 

بیشتر حملات در ظاهر کوچک و کوتاه بودند. حدود 72 درصد از حملات حجمی کمتر از 2 گیگابیت بر ثانیه داشتند و مدت زمان آن‌ها کمتر از 5 دقیقه بود. بااین‌حال، این حملات به دلیل تکرار و استمرار می‌توانند مشکلات جدی ایجاد کنند و عملکرد خدمات حیاتی را مختل کنند. در پاییز 1403، حملات «DDoS» تنها به کسب‌وکار‌های اینترنتی محدود نشدند. 18 درصد از این حملات شرکت‌های ارائه‌دهنده اینترنت سیار را هدف قرار دادند، درحالی‌که 17 درصد از آن‌ها کسب‌وکار‌های اینترنتی و 14 درصد زیرساخت‌های اینترنت ثابت را نشانه گرفتند.