‫ وضعيت اينترنت در سه‌ماهه اول 2013

IRCRE201308141
تاريخ: 23/05/92
 
شركت  Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر مي­كند. در اين مطالعه، داده‌هايي از سراسر دنيا جمع‌آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله‌ها، سرعت اينترنت و غيره منتشر مي­شود. اين شركت به تازگي گزارش خود را درباره سه‌ماهه اول سال 2013 منتشر كرده است. در ادامه، خلاصه‌اي از مهم­ترين بخش­هاي امنيتي اين گزارش را مطالعه مي­كنيد.
 
ترافيك حمله، كشورهاي برتر مبدأ حملات
در طول سه‌ماهه اول 2013، Akamai مشاهده كرده است كه ترافيك حمله از 177 كشور/ منطقه يكتا نشأت گرفته است كه اين تعداد مشابه سه‌ماهه پيش از آن است. همان‌طور كه در شكل 1 مشاهده مي‌كنيد، چين همچنان مبداء بيشترين حجم ترافيك حمله است، اگرچه درصد مشاركت اين كشور در توليد ترافيك حمله حدود يك پنجم نسبت به سه‌ماهه پيش از آن كاهش يافته است. اين كاهش احتمالاً به دليل حضور ناگهاني اندونزي در مكان دوم فهرست توليد كنندگان ترافيك حمله با افزايش 30 برابري نسبت به سه‌ماهه آخر 2012 است. بخش عمده (94%) از حملات نشأت گرفته از اندونزي پورت‌هاي 80 (پورت WWW/HTTP) و 443 (پورت HTTPS/SSL) را هدف قرار داده‌اند كه نشان دهنده فعاليت تهاجمي بت‌نت‌ها است. هنگ‌كنگ و هند دو عضو ديگر ده كشور برتر توليد كننده ترافيك حمله بودند كه افزايش حجم ترافيك حمله را شاهد بودند. اما ساير كشورها و مناطق اغلب شاهد كاهش مختصري در ترافيك حمله توليد شده بوده‌اند. تمركز ترافيك حمله نيز در سه‌ماهه نخست 2013 افزايش يافته است كه اين مسأله نيز به علت حجم قابل توجه ترافيك حمله اندونزي است. شكل كلي فهرست ده كشور برتر توليد كننده ترافيك حمله تا حد زيادي مشابه سه‌ماهه پيش از آن است، با اين تفاوت كه ايتاليا و مجارستان از اين فهرست حذف شده و اندونزي و هنگ‌كنگ به آن اضافه شده‌اند.
شكل 1: كشورهاي برتر مبدأ ترافيك حمله در سه‌ماهه‌هاي اول 2013 و چهارم 2012
 
در بررسي توزيع منطقه‌اي ترافيك حمله مشاهده شده در سه‌ماهه اول، به اين نتيجه مي‌رسيم كه نزديك به 68% از حملات از منطقه آسيا/ اقيانوسيه نشأت گرفته‌اند كه اين ميزان در سه‌ماهه چهارم 56% بود كه اين مسأله به علت افزايش قابل توجه ترافيك حمله اندونزي بوده است. كمتر از 19% از حملات از اروپا و بيش از 13% از آمريكاي شمالي و جنوبي و فقط 0.5% از آفريقا نشأت گرفته‌اند.
 
ترافيك حمله، پورت‌هاي برتر هدف حملات
همان‌طور كه در شكل 2 مشاهده مي‌كنيد، تمركز ترافيك حمله در ميان 10 پورت برتر هدف حملات در طول سه‌ماهه اول 2013 افزايش قابل توجهي يافته است كه بيشتر به علت افزايش قابل توجه حجم حملاتي كه پورت 80 و 443 را هدف قرار مي‌دهند بوده است. در حقيقت نزديك به 80% از حملاتي كه اين پورت‌ها را هدف قرار داده‌اند از اندونزي نشأت گرفته‌اند. البته همچنان پورت 445 بيشترين هدف حملات بوده است، اگرچه درصد حملاتي كه اين پورت را هدف قرار مي‌دهند كاهش داشته است. از ده پورت برتر هدف حملات، پورت 3389 (پورت Microsoft Terminal Services) تنها پورت ديگري بود كه شاهد كاهش ترافيك حمله در اين سه‌ماهه بود. در اين فهرست، پورت 8080 (پورت HTTP Alternate) با پورت 6882 جابه‌جا شده است. تمامي حملاتي كه پورت 6882 (پورت غيررسمي BitTorrent) را هدف قرار داده‌اند از چين نشأت گرفته‌اند. داده‌ها نشان دهنده افزايش ناگهاني در حملاتي كه اين پورت را هدف قرار مي‌دهند در اواخر اين سه‌ماهه هستند. البته متأسفانه اطلاعاتي در مورد منبع اين حملات ارائه نشده است.
 
شكل 2: پورت‌هاي برتر هدف حملات در سه‌ماهه‌هاي چهارم 2012 و اول 2013
 
پورت 445 همچنان بيشترين هدف حملات در 6 كشور از 10 كشور برتر توليد كننده حملات بوده است و در روماني 70 برابر پورت پس از خود (135) هدف حملات قرار گرفته است. اين نسبت در ساير كشورها 2 تا 10 برابر بوده است. در سه‌ماهه‌هاي پيشين، در تركيه و هنگ‌كنگ بيشترين حملات پورت 23 (پورت Telnet) را هدف قرار داده بودند و همين وضعيت در تايوان نيز برقرار بود، اما در اين سه‌ماهه پورت 445 تقريباً 5 برابر بيش از پورت 23 در حملات تايوان هدف حمله قرار گرفته است. (نكته جالب توجه اين است كه در سه‌ماهه چهارم 2012 پورت 445 حتي در ميان 10 پورت برتر هدف حملات در تايوان قرار نداشت.) توزيع دومين پورت هدف حملات در سه‌ماهه نخست 2013 كمي وسيع‌تر بود و پورت 23 در كشورهاي روسيه، تايوان و برزيل و پورت 1433 در كشورهاي هند و هنگ‌كنگ دوم شدند. در ساير كشورها مقام دومين پورت به پورت 3389 (چين)، پورت 443 (اندونزي)، پورت 80 (ايالات متحده آمريكا)، پورت 445 (تركيه) و پورت 135 (روماني) تعلق يافت.
 
حملات انكار سرويس توزيع شده
در طول سال 2012 تعداد 768 حمله به Akamai گزارش شد. در سه‌ماهه چهارم 2012 شاهد 200 حمله گزارش شده بوديم، درحالي‌كه در نخستين سه‌ماهه 2013، تعداد 208 حمله گزارش شد كه حدود 4% افزايش نشان مي‌داد. در سه‌ماهه‌هاي سوم و چهارم 2012، تعداد قابل توجهي (72) از حملات انكار سرويس توزيع شده در ميان جنگجويان سايبري عزالدين قسام و عمليات ابابيل توزيع شده بود. در نخستين سه‌ماهه 2013، تاكتيك اين حملات تغيير يافت و اكنون جنگجويان سايبري عزالدين قسام پيش از حمله، به اهداف خود اطلاع‌رساني نمي‌كنند. بعلاوه اين حملات در 5 مارس متوقف شدند كه علت آن هنوز دقيقاً مشخص نيست.
همان‌طور كه در شكل 3 نشان داده شده است، مشتريان سازماني Akamai در سه‌ماهه اول 2013 با افزايش ناگهاني در درصد حملات روبرو شدند و 35% (72 حمله) از كل حملات را به خود اختصاص دادند كه اين ميزان نسبت به سه‌ماهه قبل از آن، 14% افزايش نشان مي‌دهد. اما حملات عليه بخش‌هاي تجاري و رسانه‌اي تقريباً مشابه درصدهاي خود در سال 2012 باقي ماند. در همين زمان، شركت‌هاي High Tech و بخش عمومي نيز هدف حملات كمتري قرار گرفتند و به ترتيب 7% و 4% از حملات را متوجه خود ساختند. نكته جالب توجه اين است كه حملات در سه‌ماهه اول نسبت به حملات گزارش شده در سال 2012 بيشتر توزيع شده بودند. 154 سازمان يكتا حملات انكار سرويس توزيع شده سال 2013 را گزارش كرده‌اند كه اين ميزان در سال 2012، تعداد 413 سازمان يكتا در كل بود. اين بدان معناست كه حدود نيمي از حملات (350 حمله) سال 2012 عليه سازمان‌هايي صورت گرفته است كه حداقل يكبار ديگر مورد حمله قرار گرفته بودند. اين در حالي است كه اين تعداد در سه‌ماهه نخست سال 2013 به 27% از كل حملات (54 حمله) كاهش يافته است. كاهش تعداد هدف‌هاي تكراري مي‌تواند به معناي تغيير توزيع حملات باشد.
شكل 3: سهم انواع شركت‌هايي كه هدف حملات انكار سرويس توزيع شده قرار گرفته‌اند
 
درصد حملاتي كه در سه‌ماهه اول سال 2013 بخش تجاري را هدف قرار داده‌اند در مقايسه با سال 2012 تقريباً ثابت بوده است. درحالي‌كه توزيع حملات تقريباً تغييري نداشته است، اما اهداف واقعي بيشتر تنوع يافته‌اند كه اين مسأله در ادامه روند كلي توزيع حملات بين سايت‌هاي مختلف است. همان‌طور كه شكل 4 نشان مي‌دهد، سازمان‌هاي خرده‌پا همچنان اهداف وسوسه برانگيزي هستند، چراكه اين سازمان‌ها براي فروش، تكيه زيادي به اينترنت دارند و درصورتي‌كه مشتريان آنها نتوانند به سايت‌هاي اين شركت‌ها دسترسي پيدا كنند، به‌طور جدي ضربه مي‌خورند.
 
شكل 4: حملات انكار سرويس توزيع شده در بخش تجاري
 
همان‌طور كه شكل 5 نشان مي‌دهد، در ابتداي سال 2013 سرويس‌هاي مالي بار زيادي از حملات عليه شركت‌ها را تحمل كردند و از 50% حملات رنج بردند. چيزي كه ار تعداد حملات مشخص نيست اين واقعيت است كه تعدادي حمله كوتاه‌تر و كم ضررتر در سه‌ماهه نخست 2013 انجام شد كه بيشتر شامل Probe بودند نه حملات انكار سرويس توزيع شده. در اين موارد اغلب مهاجم چند روز بعد با يك حمله طولاني‌تر و بزرگ‌تر بازمي‌گردد.
بخش رسانه و سرگرمي نيز همچنان هدف مورد توجهي براي مهاجمان است و مانند دوره قبل، 22% از كل حملات انكار سرويس توزيع شده را به خود اختصاص داده است. بخش عمومي از حملات كمتري در طول سه‌ماهه اول 2013 رنج برده‌اند، هرچند كه آمار اوليه سه‌ماهه دوم 2013 نشان دهنده تغييرات احتمالي است.
تشخيص طبيعت مهاجمان اين كار سختي است، چراكه براي انجام حملات انكار سرويس توزيع شده از بت‌نت‌ها استفاده مي‌شود و زيرساخت دستور و كنترل اين بت‌نت‌ها طوري طراحي شده است كه از صاحبان آنها محافظت نمايد.
 

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 27 مرداد 1392

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0