‫ وضعيت اينترنت در سه‌ماهه دوم 2014

شماره: IRCRE201410180
تاريخ: 19/7/93
 
شركت  Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر مي­كند. در اين مطالعه، داده‌هايي از سراسر دنيا جمع‌آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله‌ها، سرعت اينترنت و غيره منتشر مي­شود. اين شركت به تازگي گزارش خود را درباره سه‌ماهه دوم سال 2014 منتشر كرده است. در ادامه، خلاصه‌اي از مهم­ترين بخش­هاي امنيتي اين گزارش را مطالعه مي­كنيد.
 
ترافيك حمله، كشورهاي برتر مبدأ حملات
در طول سه‌ماهه دوم سال 2014، آكامايي مشاهده كرده است كه ترافيك حمله از 161 كشور/ منطقه يكتا نشأت گرفته است كه اين تعداد در سه‌ماهه پيش از آن، 194 مورد بوده است. همان‌طور كه در شكل 1 مشاهده مي‌كنيد، چين همچنان در مكان اول جدول قرار دارد و مسئول 43% از حملات مشاهده شده بوده است و ترافيك حمله توليد شده توسط آن،نزديك به سه برابر كشور بعدي يعني اندونزي است كه ترافيك حمله آن نسبت به سه‌ماهه اول حدود دو برابر شده است. ايالات متحده تنها كشور ديگر اين فهرست است كه بيش از 10% ترافيك حملات را به خود اختصاص داده است و با اندكي افزايش نسبت به سه‌ماهه قبل، به 13% رسيده است. در ميان ساير كشورهاي اين فهرست، تنها تايوان است كه شاهد افزايش ترافيك حملات در اين سه‌ماهه بوده است و ساير كشورها با كاهش درصد حملات مواجه بوده‌اند. تركيب كشورهاي اين فهرست در سه‌ماهه اول و دوم ثابت بوده است. تمركز كلي ترافيك حمله مشاهده شده در سه‌ماهه دوم افزايش يافته است و 10 كشور برتر، مسئول 84% از ترافيك حمله توليد شده بوده‌اند كه اين ميزان در سه‌ماهه اول 75% بود.
شكل 1: كشورهاي برتر مبدأ ترافيك حمله در سه‌ماهه‌هاي اولو دوم 2014
 
به دليل افزايش درصد مشاركت چين و اندونزي در توليد ترافيك حمله، تمركز ترافيك حمله مشاهده شده از منطقه آسيا – اقيانوسيه در دومين سه‌ماهه سال 2014 رشد داشته و به 75% رسيده است. اين ميزان پنج برابر تمركز مشاهده شده در آمريكاي شمالي است كه مبداء 14% از ترافيك حملات بوده است. اروپا شاهد تمركز حمله 11% بوده و كمترين حجم حملات متعلق به آمريكاي جنوبي و آفريقا بوده است كه به ترتيب 4.3% و 0.3% ثبت شده است.
 
ترافيك حمله، پورت‌هاي برتر هدف حملات
همان‌طور كه در شكل 2 مشاهده مي‌كنيد، ترافيك حمله‌اي كه پورت 80 را هدف قرار داده است نسبت به سه‌ماهه اول تقريباً دو برابر شده و به 15% رسيده است و به اين ترتيب پورت 445 را به رده دوم اين جدول رانده است. اين سومين بار است كه پورت 445 در مكان اول جدول قرار ندارد و نكته جالب اين است كه همين اتفاق در سه‌ماهه دوم سال 2013 نيز رخ داده بود. البته اين بار بر خلاف سال قبل، درصد ترافيك حمله‌اي كه پورت 445 را هدف قرار داده است نسبت به سه‌ماهه اول ثابت باقي مانده و تنها پورت در ميان ده پورت برتر است كه شاهد افزايش ترافيك حملات نبوده است. به اين ترتيب، تمركز ترافيك حملات در ميان ده پورت برتر هدف حملات به طور چشمگيري نسبت به سه‌ماهه قبل افزايش يافته و از 55% به 71% رسيده است.
 
شكل 2: پورت‌هاي برتر هدف حملات در سه‌ماهه‌هاي اول و دوم 2014
 
اگرچه پورت 80 بيشترين هدف حملات در سه‌ماهه دوم بوده است، اما اين پورت در هيچ‌يك از ده كشور برتر توليد كننده ترافيك حمله، بيشترين هدف حملات نبوده است. البته اين پورت در سه كشور اين فهرست با فاصله قابل توجهي نسبت به ساير پورت‌ها، دومين پورت هدف حملات بوده است.نيمي از ده كشور برتر فهرست شاهد بيشترين حملات بر روي پورت 445 بوده‌اند، در حاليكه پورت 23 در چين، كره جنوبي و تركيه بيشترين هدف حملات بوده است كه اين به معناي تلاش‌هاي مداوم براي شناسايي پورت‌هاي باز Telnet است. دو كشور ديگر اين فهرست يعني اندونزي و ايالات متحده بيشترين حملات را بر روي پورت‌هاي 443 و 1433 مشاهده كرده‌اند كه به معناي تلاش‌هاي بي‌وقفه براي سوء استفاده از برنامه‌هاي مبتني بر وب و پايگاه‌هاي داده مرتبط با آنهاست.
 
حملات انكار سرويس توزيع شده
در سه‌ماهه دوم سال 2014، تعداد حملات انكار سرويس گزارش شده به آكامايي كاهش داشته و همانطور كه در شكل 3 مشاهده مي‌كنيد، از 346 حمله در سه‌ماهه آخر 2013 و 283 حمله در سه‌ماهه اول 2014، به 270 حمله رسيده است. اين ميزان نشان دهنده كاهش 5 درصدي اين حملات نسبت به سه‌ماهه قبل و كاهش 15 درصدي نسبت به سه‌ماهه مشابه سال قبل است.
شكل 3: تعداد حملات انكار سرويس در سه‌ماهه‌هاي مختلف
 
شكل 4 نشان مي‌دهد كه در حاليكه تعداد كلي حملات گزارش شده به آكامايي توسط مشتريان در دومين سه‌ماهه كاهش يافته است، اما حملات در قاره آمريكا افزايش داشته و با افزايش 11 درصدي، از 139 حمله به 154 حمله رسيده است و 57% از كل حملات گزارش شده را تشكيل داده است. منطقه آسيا – اقيانوسيه شاهد بيشترين كاهش (23%) در حملات بوده و از 87 حمله در سه‌ماهه اول به 67 حمله در سه‌ماهه دوم رسيده است. اين منطقه 25% از حملات سراسر جهان را به خود اختصاص داده است. منطقه اروپا / خاور ميانه / آفريقا نيز كاهش متوسط 14 درصدي را در اين سه‌ماهه تجربه كرده است و از 57 حمله در سه‌ماهه اول به 49 حمله در سه‌ماهه دوم رسيده است و در مجموع 18 % از كل حملات گزارش شده متعلق به اين منطقه بوده است.
شكل 4: توزيع منطقه‌اي حملات انكار سرويس توزيع شده در سه‌ماهه دوم 2014
 
مطابق شكل 5 توزيع حملات بر اساس صنعت نشان مي‌دهد كه كاهش حملات بين نخستين و دومين سه‌ماهه بيشتر در بخش عمومي اتفاق افتاده است. در حاليكه بخش‌هاي تحاري و شركتي نسبت به سه‌ماهه قبل تقريباً تغييري نداشته‌اند. حملات عليه بخش High Tech 60% رشد داشته است كه به نظر مي‌رسد بيشتر يك روند كلي مربوط به صنعت باشد و نه تعداد زيادي حمله عليه هر نهاد منفرد صنعتي. در حاليكه حملات عليه بخش رسانه و سرگرمي با كاهش 11 درصدي مواجه بوده است، بخش عمومي با بيشترين كاهش در حملات روبرو شده و بيش از نيمي (54%) از تعداد حملات گزارش شده آن در سه‌ماهه اول كاسته شده است.
شكل 5: توزيع حملات انكار سرويس توزيع شده بر اساس انواع شركت‌هاي هدف در سه ماهه دوم 2014
 
يكي از جالبترين جنبه‌هاي سه‌ماهه دوم 2014 اين واقعيت است كه مطابق شكل 6، آكامايي شاهد كاهش تعداد تكرارهاي حملات عليه اهداف هر حمله بود. در سه‌ماهه دوم حملات توسط 184 هدف مختلف گزارش شده‌اند كه بيشترين تعداد اهداف از زمان آغاز رصد اين نوع حمله‎‌ها است. درصد مشترياني كه شاهد حملات متوالي بوده‌اند از يك چهارم (26%) به حدود يك ششم (18%) رسيده است. تنها دو مشتري بيش از پنج بار توسط حملات انكار سرويس توزيع شده هدف قرار گرفته‌اند و بيشترين تكرار حملات بر روي يك هدف، هفت حمله بوده است كه اين عدد در سه‌ماهه پيش 17 حمله بود. توضيح روشني براي علت كاهش تعداد تكرار حملات وجود ندارد، ولي به هر حال اين موضوع براي قربانيان اين حملات خوشايند است.
شكل 6: فركانس تكرار حملات انكار سرويس توزيع شده
 
Heartbleed
در سه‌ماهه دوم 2014، دنيا از يك آسيب‌پذيري جدي كه كاربران OpenSSL را تحت تأثير قرار مي‌داد آگاه شد. اين آسيب‌پذيري Heartbleed نام گرفت. Heartbleed يك نقص امنيتي در پياده‌سازي TLS است كه در آن يك مهاجم درخواستي ارسال مي‌كند كه بايد اكو شود و طول پاسخي را كه بايد اكو شود مشخص مي‌كند. از آنجا كه طول پاسخ در مقابل طول درخواست ورودي چك نمي‌شود، يك سرور مي‌تواند با اطلاعاتي كه اتفاقي در حافظه وجود دارد پاسخ دهد: تا 64 كيلوبايت به ازاي هر درخواست.
دو راه متفاوت براي افشاي محتويات حافظه وجود دارد. نخستين روش محتويات بافرهاي OpenSSL را افشا مي‌كند. OpenSSL فضاي حافظه خود را براي درخواست‌ها و پاسخ‌ها مديريت مي‌كند و بدون پاك كردن مجدداً از آنها استفاده مي‌كند. اين به خودي خود نقص امنيتي نيست، اما تأثير Heartbleed را شدت مي‌بخشد. هنگامي كه كاربري به يك برنامه تحت وب لاگين مي‌كند، نام كاربري و كلمه عبور در درون يك بخش (حداقل 16 كيلوبايت) از حافظه بافر OpenSSL ذخيره مي‌شود. سپس يك حمله Heartbleed انجام شده و درخواست نيز همان بخش از حافظه را به خود اختصاص مي‌دهد. از آنجاييكه مهاجم صرفاً يك حجم كوچك داده ارسال مي‌كند، فقط چند بايت اول آن بخش از حافظه را بازنويسي مي‌كند و بقيه حافظه در دسترس مهاجم قرار مي‌گيرد.
روش دوم افشاي محتويات حافظه زماني اتفاق مي‌افتد كه OpenSSL، آن حافظه 16 كيلوبايتي را به 48 كيلوبايت حافظه كه پس از آن قرار دارد ملحق مي‌كند. اين بخش 48 كيلوبايتي لزوماً متعلق به OpenSSL نيست، بلكه ممكن است متعلق به كد ديگري كه در همان پردازه اجرا مي‌شود باشد. در نتيجه OpenSSL ابتدا بخش 16 كيلوبايتي حافظه را كپي مي‌كند و سپس هرچيز ديگري را كه در 48 كيلوبايت بعدي وجود دارد كپي مي‌نمايد.
Heartbleed كليه افرادي را كه از OpenSSL نسخه‌هاي بين 1.0.1 و 1.0.1f استفاده مي‌كنند تحت تأثير قرار مي‌دهد.

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 19 مهر 1393

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0