با این اتفاق کاربران ایرانی بدون آنکه بدانند از سرویسدهندههای رایگان و یا غیر رایگان، سرویسهای تغییر دهنده پروکسی خود را دریافت کرده و تلاش میکنند به تلگرام متصل شوند. اما این اتصال به چه صورت انجام میشود؟
روش ابتدایی تلگرام ارائه سرویسی با نام MTProxy بود که به کاربران ایرانی کمک میکرد بتوانند به تغییردهندههای IP دسترسی پیدا کرده و از طریق آنها به تلگرام متصل شوند. در این حالت بسیاری از کاربران علاوه بر VPNهای رایگان همواره MTProxyها را بدون اینکه بشناسند مورد استفاده قرار داده و از طریق آنها به تلگرام وصل شده و از آن استفاده میکردند.
اما به تازگی مجموعه سرویسدهنده ابری «ابر آروان» گزارشی منتشر کرده که نشان میدهد با استفاده از پوشش ایجاد شده توسط این پروکسیها، حملات DDoS میتوانند به راحتی برنامهریزی شده و عملکرد کاربرانی که در آن زمان از سرور هدف برای وارد کردن بار پردازشی به سرورهای قربانی استفاده میکنند میتواند تا چه حد حائز اهمیت باشد.
ابرآروان با تحلیل حملات گستردهی اخیر به زیرساختهای شرکت خود پی به اتفاقی تازه در این حوزه برده که تفاوتهای قابل توجهی با حملات پیشین دارد. نقطه اشتراک همه این حملات این بوده که آنها مستقیماً به آدرس IP این شرکت و پورت 80 سرور لبه ابرآوران حملهور شده و در کمال تعجب فاقد یک دامنهی واحد به عنوان میزبان درخواستها و حملات بودند.
نکته دیگری که ابرآوران در گزارش خود منتشر کرده این است که ترافیک دریافتی کاملاً تصادفی به نظر رسیده و حتی وقتی از معیارهای آماری و یا آنتروپی محاسبهشده روی اطلاعات درخواستهای دریافتی برای تحلیل منشاء نشان میدادند که حملات منشائی یکسان نداشتهاند.
نکته تأملبرانگیز دیگر این اتفاقات در دادههای بدست آمده آماری ابرآروان نشان داده که ترافیک دریافتی در لایه 7 مدل OSI اتفاق افتاده ولی در کمال تعجب هیچکدام از درخواستها از پروتکلهای معروف این لایه مانند HTTPS، FTP و یا HTTP تبعیت نمیکردند.
بنا بر مشاهدات و گزارشی که ابرآروان در وبسایت خود ارائه داده، شدت این حملات روز چهارشنبه به حدود ۱۰۰ هزار درخواست در ثانیه رسید که این میزان حمله، امکان از دسترس خارج کردن بیشتر وبسایتهای کشور را دارند. تفاوت مهم دیگر، وجود منشاء داخلی این حملات بود که باعث پررنگتر شدن آن شد.
اما مشکل از کجا بود؟
در همین زمین تئوریهای زیادی را نمیتوانیم برای منشاء مشکلات احتمال دهیم ولی در داخل مجموعه ابرآوران اینطور حدس زده شد که شاید ترافیک ایجاد شده مربوط به سرویس MTProxy تلگرام باشد. از آنجایی که ترافیک MTProxy حالت رمزنگاری شده دارد میتواند ظاهری بسیار شبیه به سیستمهای تصادفی داشته باشد و این درهمریختگی تصادفی وقتی که در مقیاس بالا استفاده شود تنها راه شناسایی را بر حدس و گمان ما محدود میکند.
در این حالت وقتی از سوی یک یا چندین کانال پرمخاطب، آدرسهایی با IP یک نقطه هدف قرار بگیرد، به دلیل استفاده در ابعاد وسیع میتواند به راحتی روی سرور هدف ترافیک حجیمی را ایجاد کند که عملاً نمیتوان هیچ شناسایی روی مبدأ آن داشت و همه چیز به حالت دادههای تصادفی اتفاق میافتد و این در حالیست که این دادههای تصادفی در واقع دادههای رمزگذاری شده از مبدأی مشخص هستند!
کارشناسان ابرآروان با شبیهسازی سناریوی احتمالی، حدس سرویس MTProxy را تقویت کردند. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونهگیری از درستی آن اطمینان پیدا کردند.
این حمله به احتمال زیاد حملهای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع میشود. نبود نگاه چند جانبه نسبت به فناوریهای روز باعث حذف یک پیامرسان با میلیونها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.
در نهایت ابرآروانیها به کاربران تلگرام هشدار جدی دادهاند که اگر در این زمینه تصمیمات درستی اتخاذ نشود، مدیران کانالهای تلگرامی که اقدام به ترویج MTProxyهای رایگان میکنند، دو قدرت بسیار مهم در اختیار خواهند داشت؛ یکی سوء استفاده از کاربران بیشمار ایرانی برای DDoS کردن وبسایتها یا سامانههای حیاتی کشور و دیگر گمراه کردن دستگاههای حاکم بر فضای سایبری و ارسال ترافیک MTProto به سرورها که منجر به قربانیشدن آنها میشود.
منبع : شهر سخت افزار