‫ وضعيت اينترنت در سه ماهه چهارم 2011

IRCRE201205097
تاريخ: 18/02/91
 
شركت  Akamai Technologiesهر سه ماه يك بار گزارشي را با عنوان «وضعيت اينترنت» منتشر مي­كند. در اين مطالعه، داده هايي از سراسر دنيا جمع آوري و تحليل شده و در نهايت گزارشي شامل اطلاعاتي آماري درباره ترافيك حمله ها، سرعت اينترنت و غيره منتشر مي­شود. اين شركت به تازگي گزارش خود را درباره سه ماهه چهارم سال 2011 منتشر كرده است. در ادامه، خلاصه اي از مهم­ترين بخش­هاي امنيتي اين گزارش را مطالعه مي­ كنيد.
امنيت
در طول چهارمين سه ماهه سال 2011، Akamai شاهد ترافيك حمله نشأت گرفته از 187 كشور/ منطقه يكتا بوده است. چين منشأ برتر ترافيك حملات بوده و مسئوليت 13% از كل ترافيك حمله مشاهده شده را بر عهده داشته است. ايالات متحده آمريكا و اندونزي نيز به ترتيب مكان­هاي دوم و سوم را به خود اختصاص داده اند و در مجموع، مسئول 17% از ترافيك حمله مشاهده شده بوده اند. تمركز ترافيك حملات كمي نسبت به سه ماهه سوم 2011 كاهش داشته و 10 پورت برتر، صرفا 62% از ترافيك حمله را مشاهده كرده اند. حملاتي كه پورت 1433 (پورت Microsoft SQL Server) را هدف قرار داده اند بيش از سه برابر نسبت به سه ماهه قبل افزايش يافته اند، در حالي­كه حملاتي كه پورت­هاي 8080 و 9514 را هدف گرفته اند، در همين مدت بيش از 4 برابر شده اند.
ترافيك حمله، كشورهاي مبدأ حملات
در طول سه ماهه چهارم 2011، Akamai شاهد ترافيك حمله نشأت گرفته از 187 كشور/ منطقه يكتا بوده است كه اين تعداد در سه ماهه سوم، 195 كشور بود. پس از اينكه اندونزي در سه ماهه سوم به صدر كشورهاي مبدأ حملات جهش كرد و مسئوليت 14% از ترافيك حمله را پذيرا شد، در اين سه ماهه به مكان سوم نقل مكان كرده و درصد ترافيك حمله آن نيز تقريبا به نصف رسيده است. مصر در اين سه ماهه از فهرست ده كشور برتر خارج شده و جاي خود را به تركيه داده است كه درصد ترافيك حمله خود را سه برابر كرده است. تغييرات در ترافيك حملات در ميان 10 كشور برتر مبدأ حملات در سه ماهه چهارم به شكلي بوده است كه كشورهاي چين، ايالات متحده آمريكا، تركيه، كره جنوبي و روماني، همگي مسئول درصدهاي بالاتري از ترافيك حملات در مقايسه با سه ماهه پيش از آن بوده اند، در حالي­كه اندونزي، تايوان، روسيه، برزيل و هند در مقايسه مشابه، درصدهاي كمتري را به خود اختصاص داده اند.
در بررسي توزيع قاره اي ترافيك حملات در سه ماهه چهارم، به اين نتيجه مي­رسيم كه بيش از 45% از اين ترافيك از منطقه آسيا/ اقيانوسيه، نزديك به 33% از اروپا، كمتر از 20% از آمريكاي شمالي و جنوبي و بقيه نيز از آفريقا نشأت گرفته اند.
ترافيك حمله، پورت­هاي هدف حملات
تمركز ترافيك حملات در ميان 10 پورت برتر هدف حملات به كاهش خود ادامه داده است و اين 10 پورت هدف 65% از حملات مشاهده شده بوده اند (اين ميزان در سه ماهه سوم 68% و در سه ماهه دوم 70% بوده است). درصد ترافيك پورت 445 نيز همچنان كاهش مي يابد. علاوه بر پورت 445، پورت 23 (پورت Telnet)، پورت 443 (پورت HTTPS/SSL) و پورت 135 (پورت Microsoft-RPC) نيز شاهد كاهش ترافيك در اين سه ماهه بوده اند كه البته كاهش ترافيك هيچ­يك به اندازه پورت 445 نبوده است. پورت 1433 (پورت Microsoft SQL Server) شاهد افزايش قابل توجهي (بيش از سه برابر) در درصد ترافيك خود بوده است، در حالي­كه ترافيك پورت­هاي 8080 و 9415 بيش از 4 برابر افزايش داشته است.
به نظر مي­رسد كه پورت 8080 با آسيب پذيري­هايي در Cisco Unified Communications Manager و Cisco Unified Contact Center Express1 products و نيز محصولات بدون اصلاحيه يا ناامن JBoss Application Servers در ارتباط است. اگرچه شاهد خاصي بر اين مدعا وجود ندارد، ولي اين دو، دو هدف مهم اين حملات بوده اند. اگرچه پورت 9415 به طور رسمي با يك پروتكل يا برنامه خاص در ارتباط نيست، ولي به نظر مي­رسد كه با يك پروكسي مورد استفاده نرم افزار چيني جريان سازي ويدئو به نام PPLive مرتبط باشد. يك نقص امنيتي در اين نرم افزار به آن اجازه مي­دهد كه به عنوان يك پروكسي باز بر روي پورت 9415 مورد استفاده قرار گيرد، در نتيجه افزايش در حملاتي كه اين پورت را هدف گرفته اند مي­تواند به علت جستجوي بدافزار به دنبال پروكسي­هاي باز بر روي اين پورت باشد كه مي­تواند براي پنهان كردن ردپاي بدافزار به كار رود.
اگرچه درصد حملاتي كه پورت 23 (پورت Telnet) را هدف گرفته اند اندكي نسبت به سه ماهه سوم كاهش يافته است، ولي اين پورت همچنان با فاصله قابل توجهي نسبت به ساير پورت­ها، هدف برتر حملات نشأت گرفته از كره جنوبي و تركيه است، به شكلي كه اين پورت بيش از 5 برابر پورت بعدي (يعني پورت 445) هدف حملات قرار گرفته است. در چين نيز پورت 1433 (پورت Microsoft SQL Server) بيش از 2 برابر پورت بعدي خود هدف حملات قرار گرفته است، در حالي­كه در اندونزي، پورت 80 (پورت WWW/HTTP) بيش از 3 برابر پورت بعدي خود هدف حملات قرار گرفته است.
SSL، رمزگذاري سمت كلاينت
پلتفوم هوشمند Akamai به ميليون­ها درخواست در ثانيه براي محتواي امن بر روي HTTPS/SSL (پورت 443) سرويس دهي مي­نمايد. اين حجم زياد ترافيك رمز شده، يك پرسپكتيو يكتا از رمز كننده هاي مشهور SSL سمت كلاينت و نيز روندهاي استفاده از آنها در طول زمان به دست مي­دهد. آمار ارائه شده در اين بخش مربوط به SSLv3 و TLSv1 است.
شكل زير نشان دهنده از كار افتادگي رمز كننده هاي SSL ارائه شده توسط كلاينت­هاي وب (معمولا مرورگرها) در طول سه ماهه چهارم 2011 است. در حالي­كه تغييرات كوچكي را مي­توان در اين سه ماهه مشاهده كرد، ولي روندهاي سه ماهه اي براي 5 رمز كننده مشهور SSL با سه ماهه قبل از آن تقريبا مشابه است. استفاده از AES256-SHA-1 و AES128-SHA-1 كه به نظر امن­تر مي آيند، كمي در سه ماهه چهارم افزايش يافته است، AES256-SHA-1 از 47.9% در سه ماهه سوم به 48.7% در اين سه ماهه رسيده است و AES128-SHA-1 از 32.5% در سه ماهه سوم، به 33.4% در اين سه ماهه افزايش يافته است. اما نرخ افزايش اين دو رمز كننده نسبت به سه ماهه سوم با كاهش روبرو بوده است. استفاده از DES-CBCSHA-168، RC4-SHA-128 و RC4-MD5-128 به ترتيب 15%، 7.5% و 5.6% كاهش يافته است.
ترافيك حمله شبكه هاي موبايل، كشورها و مناطق مبدأ حملات
در بازبيني داده هاي ارائه شده در شكل بعد به اين نتيجه مي­رسيم كه در سه ماهه چهارم 2011، ايتاليا همچنان مسئول بيشترين ترافيك حمله شبكه هاي موبايل است. البته درصد ايتاليا نسبت به سه ماهه سوم نزديك به 25% كاهش داشته است، در حالي­كه درصد شيلي نيز نزديك به 20% كاهش يافته است. درصد مربوط به ساير كشورهاي فهرست ده كشور برتر مبدأ حملات موبايل، در اين سه ماهه افزايش داشته است كه در اين ميان، چين با 77% افزايش، بيشترين رشد را به خود اختصاص داده است.
فهرست ده كشور/منطقه برتر مبدأ حملات موبايل نسبت به سه ماهه سوم تغييري نداشته است. علاوه بر اين، 78% از ترافيك حمله شبكه هاي موبايل از اين ده كشور نشأت گرفته است و اين به معناي تمركز بيشتر حملات در ميان اين فهرست نسبت به سه ماهه سوم است، سه كشور نخست اين فهرست مسئول 42% از ترافيك حملات بوده اند كه نسبت به سه ماهه پيش از آن، تقريبا به نصف رسيده است.
ترافيك حمله شبكه هاي موبايل، پورت­هاي هدف حملات
در سه ماهه چهارم 2011، فهرست ده پورت برتر هدف حملات شبكه هاي موبايل تقريبا مشابه سه ماهه سوم بود، با اين تفاوت كه پورت 8080 (پورت HTTP Alternate) جاي پورت 4899 (پورت Remote Administrator) را گرفته است. همان­طور كه در شكل بعد ملاحظه مي­گردد، پورت 445 (Microsoft-DS) همچنان هدف بخش زيادي از حملات مشاهده شده است. همچنين پورت 23 (پورت Telnet) حدود 10% و پورت 5900 (پورت VNC Server) حدود 25% كاهش ترافيك داشته اند. تمركز حملات در سه ماهه چهارم اندكي افزايش داشته است و بيش از 97% از حملات، ده پورت برتر را هدف گرفته اند.
همانطور كه در گزارش­هاي پيشين ملاحظه كرده ايم، اعتقاد متخصصان بر اين است كه ترافيك حمله نشأت گرفته از شبكه هاي شناخته شده موبايل احتمالا توسط كلاينت­هاي PC آلوده متصل به شبكه هاي بي­سيم از طريق تكنولوژي پهن باند موبايل ايجاد شده است و نه توسط تلفن­هاي هوشمند يا دستگاه­هاي مشابه موبايل.
مطالب مرتبط:

نظرات

بدون نظر
شما برای نظر دادن باید وارد شوید

نوشته

 
تاریخ ایجاد: 18 اردیبهشت 1391

دسته‌ها

امتیاز

امتیاز شما
تعداد امتیازها:0