شركت Akamai Technologies هر سه ماه یك بار گزارشی را با عنوان «وضعیت اینترنت» منتشر میكند.
به گزارش ایتنا از مرکز ماهر، در این مطالعه، دادههایی از سراسر دنیا جمعآوری و تحلیل شده و در نهایت گزارشی شامل اطلاعاتی آماری درباره ترافیك حملهها، سرعت اینترنت و غیره منتشر میشود. این شركت به تازگی گزارش خود را درباره سهماهه اول سال ۲۰۱۳ منتشر كرده است.
در ادامه، خلاصهای از مهمترین بخشهای امنیتی این گزارش را مطالعه میكنید.
ترافیك حمله، كشورهای برتر مبدأ حملات
در طول سهماهه اول ۲۰۱۳، Akamai مشاهده كرده است كه ترافیك حمله از ۱۷۷ كشور/ منطقه یكتا نشأت گرفته است كه این تعداد مشابه سهماهه پیش از آن است.
همانطور كه در شكل ۱ مشاهده میكنید، چین همچنان مبداء بیشترین حجم ترافیك حمله است، اگرچه درصد مشاركت این كشور در تولید ترافیك حمله حدود یك پنجم نسبت به سهماهه پیش از آن كاهش یافته است.
این كاهش احتمالاً به دلیل حضور ناگهانی اندونزی در مكان دوم فهرست تولید كنندگان ترافیك حمله با افزایش ۳۰ برابری نسبت به سهماهه آخر ۲۰۱۲ است.
بخش عمده (۹۴%) از حملات نشأت گرفته از اندونزی پورتهای ۸۰ (پورت WWW/HTTP) و ۴۴۳ (پورت HTTPS/SSL) را هدف قرار دادهاند كه نشان دهنده فعالیت تهاجمی بتنتها است. هنگكنگ و هند دو عضو دیگر ده كشور برتر تولید كننده ترافیك حمله بودند كه افزایش حجم ترافیك حمله را شاهد بودند.
اما سایر كشورها و مناطق اغلب شاهد كاهش مختصری در ترافیك حمله تولید شده بودهاند.
تمركز ترافیك حمله نیز در سهماهه نخست ۲۰۱۳ افزایش یافته است كه این مسأله نیز به علت حجم قابل توجه ترافیك حمله اندونزی است.
شكل كلی فهرست ده كشور برتر تولید كننده ترافیك حمله تا حد زیادی مشابه سهماهه پیش از آن است، با این تفاوت كه ایتالیا و مجارستان از این فهرست حذف شده و اندونزی و هنگكنگ به آن اضافه شدهاند.
شكل ۱: كشورهای برتر مبدأ ترافیك حمله در سهماهههای اول ۲۰۱۳ و چهارم ۲۰۱۲
در بررسی توزیع منطقهای ترافیك حمله مشاهده شده در سهماهه اول، به این نتیجه میرسیم كه نزدیك به ۶۸% از حملات از منطقه آسیا/ اقیانوسیه نشأت گرفتهاند كه این میزان در سهماهه چهارم ۵۶% بود كه این مسأله به علت افزایش قابل توجه ترافیك حمله اندونزی بوده است.
كمتر از ۱۹% از حملات از اروپا و بیش از ۱۳% از آمریكای شمالی و جنوبی و فقط ۰.۵% از آفریقا نشأت گرفتهاند.
ترافیك حمله، پورتهای برتر هدف حملات
همانطور كه در شكل ۲ مشاهده میكنید، تمركز ترافیك حمله در میان ۱۰ پورت برتر هدف حملات در طول سهماهه اول ۲۰۱۳ افزایش قابل توجهی یافته است كه بیشتر به علت افزایش قابل توجه حجم حملاتی كه پورت ۸۰ و ۴۴۳ را هدف قرار میدهند بوده است.
در حقیقت نزدیك به ۸۰% از حملاتی كه این پورتها را هدف قرار دادهاند از اندونزی نشأت گرفتهاند. البته همچنان پورت ۴۴۵ بیشترین هدف حملات بوده است، اگرچه درصد حملاتی كه این پورت را هدف قرار میدهند كاهش داشته است.
از ده پورت برتر هدف حملات، پورت ۳۳۸۹ (پورت Microsoft Terminal Services) تنها پورت دیگری بود كه شاهد كاهش ترافیك حمله در این سهماهه بود.
در این فهرست، پورت ۸۰۸۰ (پورت HTTP Alternate) با پورت ۶۸۸۲ جابهجا شده است.
تمامی حملاتی كه پورت ۶۸۸۲ (پورت غیررسمی BitTorrent) را هدف قرار دادهاند از چین نشأت گرفتهاند.
دادهها نشان دهنده افزایش ناگهانی در حملاتی كه این پورت را هدف قرار میدهند در اواخر این سهماهه هستند. البته متأسفانه اطلاعاتی در مورد منبع این حملات ارائه نشده است.
شكل ۲: پورتهای برتر هدف حملات در سهماهههای چهارم ۲۰۱۲ و اول ۲۰۱۳
پورت ۴۴۵ همچنان بیشترین هدف حملات در ۶ كشور از ۱۰ كشور برتر تولید كننده حملات بوده است و در رومانی ۷۰ برابر پورت پس از خود (۱۳۵) هدف حملات قرار گرفته است.
این نسبت در سایر كشورها ۲ تا ۱۰ برابر بوده است.
در سهماهههای پیشین، در تركیه و هنگكنگ بیشترین حملات پورت ۲۳ (پورت Telnet) را هدف قرار داده بودند و همین وضعیت در تایوان نیز برقرار بود، اما در این سهماهه پورت ۴۴۵ تقریباً ۵ برابر بیش از پورت ۲۳ در حملات تایوان هدف حمله قرار گرفته است. (نكته جالب توجه این است كه در سهماهه چهارم ۲۰۱۲ پورت ۴۴۵ حتی در میان ۱۰ پورت برتر هدف حملات در تایوان قرار نداشت.)
توزیع دومین پورت هدف حملات در سهماهه نخست ۲۰۱۳ كمی وسیعتر بود و پورت ۲۳ در كشورهای روسیه، تایوان و برزیل و پورت ۱۴۳۳ در كشورهای هند و هنگكنگ دوم شدند.
در سایر كشورها مقام دومین پورت به پورت ۳۳۸۹ (چین)، پورت ۴۴۳ (اندونزی)، پورت ۸۰ (ایالات متحده آمریكا)، پورت ۴۴۵ (تركیه) و پورت ۱۳۵ (رومانی) تعلق یافت.
حملات انكار سرویس توزیع شده
در طول سال ۲۰۱۲ تعداد ۷۶۸ حمله به Akamai گزارش شد. در سهماهه چهارم ۲۰۱۲ شاهد ۲۰۰ حمله گزارش شده بودیم، درحالیكه در نخستین سهماهه ۲۰۱۳، تعداد ۲۰۸ حمله گزارش شد كه حدود ۴% افزایش نشان میداد.
در سهماهههای سوم و چهارم ۲۰۱۲، تعداد قابل توجهی (۷۲) از حملات انكار سرویس توزیع شده در میان جنگجویان سایبری عزالدین قسام و عملیات ابابیل توزیع شده بود.
در نخستین سهماهه ۲۰۱۳، تاكتیك این حملات تغییر یافت و اكنون جنگجویان سایبری عزالدین قسام پیش از حمله، به اهداف خود اطلاعرسانی نمیكنند. بعلاوه این حملات در ۵ مارس متوقف شدند كه علت آن هنوز دقیقاً مشخص نیست.
همانطور كه در شكل ۳ نشان داده شده است، مشتریان سازمانی Akamai در سهماهه اول ۲۰۱۳ با افزایش ناگهانی در درصد حملات روبرو شدند و ۳۵% (۷۲ حمله) از كل حملات را به خود اختصاص دادند كه این میزان نسبت به سهماهه قبل از آن، ۱۴% افزایش نشان میدهد.
اما حملات علیه بخشهای تجاری و رسانهای تقریباً مشابه درصدهای خود در سال ۲۰۱۲ باقی ماند. در همین زمان، شركتهای High Tech و بخش عمومی نیز هدف حملات كمتری قرار گرفتند و به ترتیب ۷% و ۴% از حملات را متوجه خود ساختند.
نكته جالب توجه این است كه حملات در سهماهه اول نسبت به حملات گزارش شده در سال ۲۰۱۲ بیشتر توزیع شده بودند.
۱۵۴ سازمان یكتا حملات انكار سرویس توزیع شده سال ۲۰۱۳ را گزارش كردهاند كه این میزان در سال ۲۰۱۲، تعداد ۴۱۳ سازمان یكتا در كل بود.
این بدان معناست كه حدود نیمی از حملات (۳۵۰ حمله) سال ۲۰۱۲ علیه سازمانهایی صورت گرفته است كه حداقل یكبار دیگر مورد حمله قرار گرفته بودند.
این در حالی است كه این تعداد در سهماهه نخست سال ۲۰۱۳ به ۲۷% از كل حملات (۵۴ حمله) كاهش یافته است.
كاهش تعداد هدفهای تكراری میتواند به معنای تغییر توزیع حملات باشد.
شكل ۳: سهم انواع شركتهایی كه هدف حملات انكار سرویس توزیع شده قرار گرفتهاند
درصد حملاتی كه در سهماهه اول سال ۲۰۱۳ بخش تجاری را هدف قرار دادهاند در مقایسه با سال ۲۰۱۲ تقریباً ثابت بوده است.
درحالیكه توزیع حملات تقریباً تغییری نداشته است، اما اهداف واقعی بیشتر تنوع یافتهاند كه این مسأله در ادامه روند كلی توزیع حملات بین سایتهای مختلف است.
همانطور كه شكل ۴ نشان میدهد، سازمانهای خردهپا همچنان اهداف وسوسه برانگیزی هستند، چراكه این سازمانها برای فروش، تكیه زیادی به اینترنت دارند و درصورتیكه مشتریان آنها نتوانند به سایتهای این شركتها دسترسی پیدا كنند، بهطور جدی ضربه میخورند.
شكل ۴: حملات انكار سرویس توزیع شده در بخش تجاری
همانطور كه شكل ۵ نشان میدهد، در ابتدای سال ۲۰۱۳ سرویسهای مالی بار زیادی از حملات علیه شركتها را تحمل كردند و از ۵۰% حملات رنج بردند.
چیزی كه ار تعداد حملات مشخص نیست این واقعیت است كه تعدادی حمله كوتاهتر و كم ضررتر در سهماهه نخست ۲۰۱۳ انجام شد كه بیشتر شامل Probe بودند نه حملات انكار سرویس توزیع شده.
در این موارد اغلب مهاجم چند روز بعد با یك حمله طولانیتر و بزرگتر بازمیگردد.
بخش رسانه و سرگرمی نیز همچنان هدف مورد توجهی برای مهاجمان است و مانند دوره قبل، ۲۲% از كل حملات انكار سرویس توزیع شده را به خود اختصاص داده است.
بخش عمومی از حملات كمتری در طول سهماهه اول ۲۰۱۳ رنج بردهاند، هرچند كه آمار اولیه سهماهه دوم ۲۰۱۳ نشان دهنده تغییرات احتمالی است.
تشخیص طبیعت مهاجمان این كار سختی است، چراكه برای انجام حملات انكار سرویس توزیع شده از بتنتها استفاده میشود و زیرساخت دستور و كنترل این بتنتها طوری طراحی شده است كه از صاحبان آنها محافظت نماید.