گزارش تحلیلی خواندنی وضعیت اینترنت در سه‌ماهه اول ۲۰۱۳

شرکت Akamai Technologies هر سه ماه یک بار گزارشی را با عنوان «وضعیت اینترنت» منتشر می‌کند.
به گزارش ایتنا از مرکز ماهر، در این مطالعه، داده‌هایی از سراسر دنیا جمع‌آوری و تحلیل شده و در نهایت گزارشی شامل اطلاعاتی آماری درباره ترافیک حمله‌ها، سرعت اینترنت و غیره منتشر می­شود. این شرکت به تازگی گزارش خود را درباره سه‌ماهه اول سال ۲۰۱۳ منتشر کرده است.
در ادامه، خلاصه‌ای از مهم­ترین بخش­های امنیتی این گزارش را مطالعه می­کنید.

ترافیک حمله، کشورهای برتر مبدأ حملات
در طول سه‌ماهه اول ۲۰۱۳، Akamai مشاهده کرده است که ترافیک حمله از ۱۷۷ کشور/ منطقه یکتا نشأت گرفته است که این تعداد مشابه سه‌ماهه پیش از آن است.

همان‌طور که در شکل ۱ مشاهده می‌کنید، چین همچنان مبداء بیشترین حجم ترافیک حمله است، اگرچه درصد مشارکت این کشور در تولید ترافیک حمله حدود یک پنجم نسبت به سه‌ماهه پیش از آن کاهش یافته است.

این کاهش احتمالاً به دلیل حضور ناگهانی اندونزی در مکان دوم فهرست تولید کنندگان ترافیک حمله با افزایش ۳۰ برابری نسبت به سه‌ماهه آخر ۲۰۱۲ است.
بخش عمده (۹۴%) از حملات نشأت گرفته از اندونزی پورت‌های ۸۰ (پورت WWW/HTTP) و ۴۴۳ (پورت HTTPS/SSL) را هدف قرار داده‌اند که نشان دهنده فعالیت تهاجمی بت‌نت‌ها است. هنگ‌کنگ و هند دو عضو دیگر ده کشور برتر تولید کننده ترافیک حمله بودند که افزایش حجم ترافیک حمله را شاهد بودند.

اما سایر کشورها و مناطق اغلب شاهد کاهش مختصری در ترافیک حمله تولید شده بوده‌اند.
تمرکز ترافیک حمله نیز در سه‌ماهه نخست ۲۰۱۳ افزایش یافته است که این مسأله نیز به علت حجم قابل توجه ترافیک حمله اندونزی است.
شکل کلی فهرست ده کشور برتر تولید کننده ترافیک حمله تا حد زیادی مشابه سه‌ماهه پیش از آن است، با این تفاوت که ایتالیا و مجارستان از این فهرست حذف شده و اندونزی و هنگ‌کنگ به آن اضافه شده‌اند.

شکل ۱: کشورهای برتر مبدأ ترافیک حمله در سه‌ماهه‌های اول ۲۰۱۳ و چهارم ۲۰۱۲

در بررسی توزیع منطقه‌ای ترافیک حمله مشاهده شده در سه‌ماهه اول، به این نتیجه می‌رسیم که نزدیک به ۶۸% از حملات از منطقه آسیا/ اقیانوسیه نشأت گرفته‌اند که این میزان در سه‌ماهه چهارم ۵۶% بود که این مسأله به علت افزایش قابل توجه ترافیک حمله اندونزی بوده است.
کمتر از ۱۹% از حملات از اروپا و بیش از ۱۳% از آمریکای شمالی و جنوبی و فقط ۰.۵% از آفریقا نشأت گرفته‌اند.

ترافیک حمله، پورت‌های برتر هدف حملات
همان‌طور که در شکل ۲ مشاهده می‌کنید، تمرکز ترافیک حمله در میان ۱۰ پورت برتر هدف حملات در طول سه‌ماهه اول ۲۰۱۳ افزایش قابل توجهی یافته است که بیشتر به علت افزایش قابل توجه حجم حملاتی که پورت ۸۰ و ۴۴۳ را هدف قرار می‌دهند بوده است.
در حقیقت نزدیک به ۸۰% از حملاتی که این پورت‌ها را هدف قرار داده‌اند از اندونزی نشأت گرفته‌اند. البته همچنان پورت ۴۴۵ بیشترین هدف حملات بوده است، اگرچه درصد حملاتی که این پورت را هدف قرار می‌دهند کاهش داشته است.

از ده پورت برتر هدف حملات، پورت ۳۳۸۹ (پورت Microsoft Terminal Services) تنها پورت دیگری بود که شاهد کاهش ترافیک حمله در این سه‌ماهه بود.
در این فهرست، پورت ۸۰۸۰ (پورت HTTP Alternate) با پورت ۶۸۸۲ جابه‌جا شده است.
تمامی حملاتی که پورت ۶۸۸۲ (پورت غیررسمی BitTorrent) را هدف قرار داده‌اند از چین نشأت گرفته‌اند.
داده‌ها نشان دهنده افزایش ناگهانی در حملاتی که این پورت را هدف قرار می‌دهند در اواخر این سه‌ماهه هستند. البته متأسفانه اطلاعاتی در مورد منبع این حملات ارائه نشده است.

شکل ۲: پورت‌های برتر هدف حملات در سه‌ماهه‌های چهارم ۲۰۱۲ و اول ۲۰۱۳

پورت ۴۴۵ همچنان بیشترین هدف حملات در ۶ کشور از ۱۰ کشور برتر تولید کننده حملات بوده است و در رومانی ۷۰ برابر پورت پس از خود (۱۳۵) هدف حملات قرار گرفته است.
این نسبت در سایر کشورها ۲ تا ۱۰ برابر بوده است.

در سه‌ماهه‌های پیشین، در ترکیه و هنگ‌کنگ بیشترین حملات پورت ۲۳ (پورت Telnet) را هدف قرار داده بودند و همین وضعیت در تایوان نیز برقرار بود، اما در این سه‌ماهه پورت ۴۴۵ تقریباً ۵ برابر بیش از پورت ۲۳ در حملات تایوان هدف حمله قرار گرفته است. (نکته جالب توجه این است که در سه‌ماهه چهارم ۲۰۱۲ پورت ۴۴۵ حتی در میان ۱۰ پورت برتر هدف حملات در تایوان قرار نداشت.)
توزیع دومین پورت هدف حملات در سه‌ماهه نخست ۲۰۱۳ کمی وسیع‌تر بود و پورت ۲۳ در کشورهای روسیه، تایوان و برزیل و پورت ۱۴۳۳ در کشورهای هند و هنگ‌کنگ دوم شدند.
در سایر کشورها مقام دومین پورت به پورت ۳۳۸۹ (چین)، پورت ۴۴۳ (اندونزی)، پورت ۸۰ (ایالات متحده آمریکا)، پورت ۴۴۵ (ترکیه) و پورت ۱۳۵ (رومانی) تعلق یافت.

حملات انکار سرویس توزیع شده
در طول سال ۲۰۱۲ تعداد ۷۶۸ حمله به Akamai گزارش شد. در سه‌ماهه چهارم ۲۰۱۲ شاهد ۲۰۰ حمله گزارش شده بودیم، درحالی‌که در نخستین سه‌ماهه ۲۰۱۳، تعداد ۲۰۸ حمله گزارش شد که حدود ۴% افزایش نشان می‌داد.
در سه‌ماهه‌های سوم و چهارم ۲۰۱۲، تعداد قابل توجهی (۷۲) از حملات انکار سرویس توزیع شده در میان جنگجویان سایبری عزالدین قسام و عملیات ابابیل توزیع شده بود.
در نخستین سه‌ماهه ۲۰۱۳، تاکتیک این حملات تغییر یافت و اکنون جنگجویان سایبری عزالدین قسام پیش از حمله، به اهداف خود اطلاع‌رسانی نمی‌کنند. بعلاوه این حملات در ۵ مارس متوقف شدند که علت آن هنوز دقیقاً مشخص نیست.

همان‌طور که در شکل ۳ نشان داده شده است، مشتریان سازمانی Akamai در سه‌ماهه اول ۲۰۱۳ با افزایش ناگهانی در درصد حملات روبرو شدند و ۳۵% (۷۲ حمله) از کل حملات را به خود اختصاص دادند که این میزان نسبت به سه‌ماهه قبل از آن، ۱۴% افزایش نشان می‌دهد.

اما حملات علیه بخش‌های تجاری و رسانه‌ای تقریباً مشابه درصدهای خود در سال ۲۰۱۲ باقی ماند. در همین زمان، شرکت‌های High Tech و بخش عمومی نیز هدف حملات کمتری قرار گرفتند و به ترتیب ۷% و ۴% از حملات را متوجه خود ساختند.
نکته جالب توجه این است که حملات در سه‌ماهه اول نسبت به حملات گزارش شده در سال ۲۰۱۲ بیشتر توزیع شده بودند.

۱۵۴ سازمان یکتا حملات انکار سرویس توزیع شده سال ۲۰۱۳ را گزارش کرده‌اند که این میزان در سال ۲۰۱۲، تعداد ۴۱۳ سازمان یکتا در کل بود.
این بدان معناست که حدود نیمی از حملات (۳۵۰ حمله) سال ۲۰۱۲ علیه سازمان‌هایی صورت گرفته است که حداقل یکبار دیگر مورد حمله قرار گرفته بودند.
این در حالی است که این تعداد در سه‌ماهه نخست سال ۲۰۱۳ به ۲۷% از کل حملات (۵۴ حمله) کاهش یافته است.
کاهش تعداد هدف‌های تکراری می‌تواند به معنای تغییر توزیع حملات باشد.

شکل ۳: سهم انواع شرکت‌هایی که هدف حملات انکار سرویس توزیع شده قرار گرفته‌اند

درصد حملاتی که در سه‌ماهه اول سال ۲۰۱۳ بخش تجاری را هدف قرار داده‌اند در مقایسه با سال ۲۰۱۲ تقریباً ثابت بوده است.
درحالی‌که توزیع حملات تقریباً تغییری نداشته است، اما اهداف واقعی بیشتر تنوع یافته‌اند که این مسأله در ادامه روند کلی توزیع حملات بین سایت‌های مختلف است.

همان‌طور که شکل ۴ نشان می‌دهد، سازمان‌های خرده‌پا همچنان اهداف وسوسه برانگیزی هستند، چراکه این سازمان‌ها برای فروش، تکیه زیادی به اینترنت دارند و درصورتی‌که مشتریان آنها نتوانند به سایت‌های این شرکت‌ها دسترسی پیدا کنند، به‌طور جدی ضربه می‌خورند.

شکل ۴: حملات انکار سرویس توزیع شده در بخش تجاری

همان‌طور که شکل ۵ نشان می‌دهد، در ابتدای سال ۲۰۱۳ سرویس‌های مالی بار زیادی از حملات علیه شرکت‌ها را تحمل کردند و از ۵۰% حملات رنج بردند.
چیزی که ار تعداد حملات مشخص نیست این واقعیت است که تعدادی حمله کوتاه‌تر و کم ضررتر در سه‌ماهه نخست ۲۰۱۳ انجام شد که بیشتر شامل Probe بودند نه حملات انکار سرویس توزیع شده.
در این موارد اغلب مهاجم چند روز بعد با یک حمله طولانی‌تر و بزرگ‌تر بازمی‌گردد.

بخش رسانه و سرگرمی نیز همچنان هدف مورد توجهی برای مهاجمان است و مانند دوره قبل، ۲۲% از کل حملات انکار سرویس توزیع شده را به خود اختصاص داده است.

بخش عمومی از حملات کمتری در طول سه‌ماهه اول ۲۰۱۳ رنج برده‌اند، هرچند که آمار اولیه سه‌ماهه دوم ۲۰۱۳ نشان دهنده تغییرات احتمالی است.
تشخیص طبیعت مهاجمان این کار سختی است، چراکه برای انجام حملات انکار سرویس توزیع شده از بت‌نت‌ها استفاده می‌شود و زیرساخت دستور و کنترل این بت‌نت‌ها طوری طراحی شده است که از صاحبان آنها محافظت نماید.

درباره نویسنده

"وب مثبت" فعالیت خود را از سال 91 آغاز کرد... شما در "وب مثبت" شاهد محتوای مرتبط با وب، شامل "آموزش اصول طراحی و مدیریت وب سایت" و همچنین "آخرین اخبار و حاشیه های دنیای وب" خواهید بود. WebMosbat.IR را به یاد داشته باشید...

نوشته های مرتبط