از ماست که برماست؛ استفاده از پروکسی‌های اختصاصی تلگرام بستری رویایی برای حملات DDoS

با این اتفاق کاربران ایرانی بدون آنکه بدانند از سرویس‌دهنده‌های رایگان و یا غیر رایگان، سرویس‌های تغییر دهنده پروکسی خود را دریافت کرده و تلاش می‌کنند به تلگرام متصل شوند. اما این اتصال به چه صورت انجام می‌شود؟

روش ابتدایی تلگرام ارائه سرویسی با نام MTProxy بود که به کاربران ایرانی کمک می‌کرد بتوانند به تغییردهنده‌های IP دسترسی پیدا کرده و از طریق آنها به تلگرام متصل شوند. در این حالت بسیاری از کاربران علاوه بر VPNهای رایگان همواره MTProxyها را بدون اینکه بشناسند مورد استفاده قرار داده و از طریق آنها به تلگرام وصل شده و از آن استفاده می‌کردند.

اما به تازگی مجموعه سرویس‌دهنده ابری «ابر آروان» گزارشی منتشر کرده که نشان می‌دهد با استفاده از پوشش ایجاد شده توسط این پروکسی‌ها، حملات DDoS می‌توانند به راحتی برنامه‌ریزی شده و عملکرد کاربرانی که در آن زمان از سرور هدف برای وارد کردن بار پردازشی به سرورهای قربانی استفاده می‌کنند می‌تواند تا چه حد حائز اهمیت باشد.

ابرآروان با تحلیل حملات گسترده‌ی اخیر به زیرساخت‌های شرکت خود پی به اتفاقی تازه در این حوزه برده که تفاوت‌های قابل توجهی با حملات پیشین دارد. نقطه اشتراک همه این حملات این بوده که آنها مستقیماً به آدرس IP این شرکت و پورت 80 سرور لبه ابرآوران حمله‌ور شده و در کمال تعجب فاقد یک دامنه‌ی واحد به عنوان میزبان درخواست‌ها و حملات بودند.

نکته دیگری که ابرآوران در گزارش خود منتشر کرده این است که ترافیک دریافتی کاملاً تصادفی به نظر رسیده و حتی وقتی از معیارهای آماری و یا آنتروپی محاسبه‌شده روی اطلاعات درخواست‌های دریافتی برای تحلیل منشاء نشان می‌دادند که حملات منشائی یکسان نداشته‌اند.

نکته تأمل‌برانگیز دیگر این اتفاقات در داده‌های بدست آمده آماری ابرآروان نشان داده که ترافیک دریافتی در لایه 7 مدل OSI اتفاق افتاده ولی در کمال تعجب هیچ‌کدام از درخواست‌ها از پروتکل‌های معروف این لایه مانند HTTPS، FTP و یا HTTP تبعیت نمی‌کردند.

بنا بر مشاهدات و گزارشی که ابرآروان در وبسایت خود ارائه داده، شدت این حملات روز چهارشنبه به حدود ۱۰۰ هزار درخواست در ثانیه رسید که این میزان حمله، امکان از دسترس خارج کردن بیش‌تر وب‌سایت‌های کشور را دارند. تفاوت مهم دیگر، وجود منشاء داخلی این حملات بود که باعث پررنگ‌تر شدن آن شد.

اما مشکل از کجا بود؟
در همین زمین تئوری‌های زیادی را نمی‌توانیم برای منشاء مشکلات احتمال دهیم ولی در داخل مجموعه ابرآوران اینطور حدس زده شد که شاید ترافیک ایجاد شده مربوط به سرویس MTProxy تلگرام باشد. از آنجایی که ترافیک‌ MTProxy حالت رمزنگاری شده دارد می‌تواند ظاهری بسیار شبیه به سیستم‌های تصادفی داشته باشد و این درهم‌ریختگی تصادفی وقتی که در مقیاس بالا استفاده شود تنها راه شناسایی را بر حدس و گمان ما محدود می‌کند.

در این حالت وقتی از سوی یک یا چندین کانال پرمخاطب، آدرس‌هایی با IP یک نقطه هدف قرار بگیرد، به دلیل استفاده در ابعاد وسیع می‌تواند به راحتی روی سرور هدف ترافیک حجیمی را ایجاد کند که عملاً نمی‌توان هیچ شناسایی روی مبدأ آن داشت و همه چیز به حالت داده‌های تصادفی اتفاق می‌افتد و این در حالیست که این داده‌های تصادفی در واقع داده‌های رمزگذاری شده از مبدأی مشخص هستند!

کارشناسان ابرآروان با شبیه‌سازی سناریوی احتمالی، حدس سرویس MTProxy را تقویت کردند. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونه‌گیری از درستی آن اطمینان پیدا کردند.

 این حمله به احتمال زیاد حمله‌ای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع می‌شود. نبود نگاه چند جانبه نسبت به فناوری‌های روز باعث حذف یک پیام‌رسان با میلیون‌ها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.

در نهایت ابرآروانی‎ها به کاربران تلگرام هشدار جدی داده‌اند که اگر در این زمینه تصمیمات درستی اتخاذ نشود، مدیران کانال‌های تلگرامی که اقدام به ترویج MTProxyهای رایگان می‌کنند، دو قدرت بسیار مهم در اختیار خواهند داشت؛ یکی سوء استفاده از کاربران بی‌شمار ایرانی برای DDoS کردن وب‌سایت‌ها یا سامانه‌های حیاتی کشور و دیگر گمراه کردن دستگاه‌های حاکم بر فضای سایبری و ارسال ترافیک MTProto  به سرورها که منجر به قربانی‌شدن آن‌ها می‌شود.

منبع : شهر سخت افزار