تلگرام پرطرفدارترین پیام رسان در ایران است و در این موضوع هم شکی نیست. حتی بعد از فیلترینگ تلگرام که از تاریخ 10 اردیبهشت انجام شد، باز هم کاربران به روش‌های مختلف روی استفاده از تلگرام پافشاری کردند. یکی از نتایج تصمیم فیلترینگ تلگرام، استفاده شدید کاربران از فیلترشکن بود. گذشته از فیلتر شکن، خود تلگرام سرویسی با نام MTProxy هم ارائه کرد تا به این شیوه بتواند فیلترینگ را دور بزند.

استفاده از فیلترشکن مشکلاتی از جمله کندی سرعت اینترنت، داشتن هزینه و... را به دنبال داشت و همین موضوع هم باعث شد تا کاربران به MTProxy روی خوش نشان دهند. حالا اما ابر آروان، یکی از CDNهای داخلی، معتقد است که این MTProxyهای تلگرام باعث حملات گسترده DDOS می‌شوند. گویا در روزهای اخیر زیرساخت ابر آروان قربانی حملات گسترده‌ی DDOS بوده است و با تحلیل این حملات، نوع و منشا آن‌ها را تشخیص داده است. به گفته ابر آروان، حمله‌های صورت گرفته دارای مشخصات زیر بوده‌اند:

• این حملات مستقیما به آدرس IP و پورت 80 سرورهای لبه‌ی ابر آروان ارسال شده بودند و اثری از دامنه‌ا‎ی خاص در درخواست‌های آن‌ها یافت نمی‌شد.
• ترافیک دریافتی کاملا تصادفی به نظر می‌رسید. حتی آنتروپی محاسبه شده روی اطلاعات درخواست‌های دریافتی تقریبا معادل 4 بود.
• ترافیک دریافتی در لایه‌ی 7 بود. اما از هیچ‌یک از پروتکل‌های معروف این لایه مانند HTTP ، HTTPS، FTP و… پیروی نمی‌کرد.
• حمله کاملا داخلی بود و IPهای حمله‌کننده، در داخل کشور قرار داشتند.

ردیابی این حمله DDOS اصلا ساده نبود

به گفته ابر آروان تحلیل این حملات کار ساده‌ای نبوده است زیرا نه از داده‌های ارسالی می‌شد سرنخی بدست آورد و نه نشانی درخواست‌های ارسالی الگوی مشترکی داشت. ابر آروان درباره این حمله چنین توضیح داده است:

این حمله در روز سه‌شنبه 14 آبان ساعت 23 و 36 دقیقه شروع و در روز یکشنبه 19 آبان ساعت 23 و 46 دقیقه به پایان رسید. اوج این حملات روز چهارشنبه بود که تعداد درخواست‌های ارسالی به سمت سرورهای ابر آروان به حدود 100 هزار درخواست در ثانیه رسید. اگرچه این حملات در مقابل حملات گسترده‌ای که در ابر آروان با آن مقابله می‌شود از شدت بسیار بالایی برخوردار نبودند اما همین حملات، امکان از دسترس خارج کردن بیش‌تر وب‌سایت‌های کشور را دارند. تفاوت مهم دیگر، وجود منشا داخلی این حملات بود که باعث پررنگ‌تر شدن آن می‌شود.

چرا پروکسی‌های تلگرام منبع حمله بودند؟

پس از اینکه ابر آروان هیچ نتیجه‎‌ای از بررسی‌هایش بدست نیاورد، تنها گزینه باقی مانده‌ای که می‌شد به آن شک کرد، سرویس MTProxy تلگرام بود. شک ابر آروان به این سرویس، با توجه به نکات زیر بود که بیشتر از قبل هم شد:

• ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولن رفتاری مانند ترافیک تصادفی دارد. هم‌چنین در پروتکل MTProto این درهم‌ریختگی تصادفی، تشدید نیز می‌شود.
• متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیع‌شدگی شدید این حمله تطابق داشت.
• ارسال و استفاده از سرویس‌های رایگان MTProxy در کانال‌های تلگرام امری شایع و ساده است. به‌راحتی می‎توان با تغییر نشانی IP یکی از این سرورها به نشانی ابر آروان، ترافیک مشابه ایجاد کرد.
• به‌دلیل ساختار استفاده از سرویس MTProxy، چند نشانی به‌عنوان سرور در اختیار نرم‌افزار قرار می‌گیرد که به‌وسیله‌ی تلگرام بررسی می‌شوند. این بررسی خودکار می‌تواند منجر به ایجاد ترافیک بدون اطلاع کاربر شود.
• یک دامین پروکسی می‌تواند دارای چندین نشانی IP باشد و تلگرام به تمام این IPها درخواست را ارسال می‌کند. اگر یکی از این IPها برای حمله استفاده شود و باقی آن‌ها درست کار کند، کاربر تنها با کندی سرویس پروکسی مواجه و متوجه قطع سرویس نمی‌شود.

هشدار جدی ابر آروان نسبت به فیلترینگ تلگرام

در آخر ابر آروان، با توضیحات زیر، هشدار جدی به مسئولین فیلترینگ تلگرام داده است که با این شیوه علاوه بر سو استفاده از کاربران ایرانی برای حمله DDOS، دستگاه‌های حاکم بر فضای مجازی هم گمراه شده و سرورهای زیادی قربانی می‌شوند. ابر آروان این هشدار جدی را به صورت زیر بیان کرده است:

این مشکل از فیلتر شدن تلگرام شروع می‌شود. نبود نگاه چند جانبه نسبت به فناوری‌های روز باعث حذف یک پیام‌رسان با میلیون‌ها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.

رواج بیش‌ از اندازه نسخه‌های غیر اصل از تلگرام که متهم به سو استفاده از دستگاه‌های شخصی کاربران ایرانی بودند یکی از این موارد، و اکنون نیز استفاده از MTProxy رایگان، و ترویج آن تهدید بزرگ دیگری را در برابر کاربران ایرانی قرار داده است.

در حال حاضر ابر آروان هشدار جدی می‌دهد که اگر تصمیمات سختی اتخاذ نشود، مدیران کانال‌های تلگرامی که اقدام به ترویج MTProxyهای رایگان می‌کنند، دو قدرت بسیار مهم در اختیار خواهند داشت:

سو استفاده از کاربران بی‌شمار ایرانی برای DDoS کردن وب‌سایت‌های یا سامانه‌های حیاتی کشور

گمراه کردن دستگاه‌های حاکم بر فضای سایبری و قربانی کردن سرورهای بی‌گناه با ارسال ترافیک MTProto به این سرورها

از این لینک می‌توانید گزارش کامل ابر آروان از این حمله را ببینید.

اخبار مرتبط:

رویداد سوار بر ابرها؛ رویدادی با اشتراک گذاری جدیدترین دستاوردهای ابر آروان

ابر آروان به عنوان دومین کالای ایرانی باکیفیت از سوی وزیر ارتباطات معرفی شد

ما را در شبکه‌های اجتماعی مختلف تلگرام، روبیکا، توییتر، اینستاگرام همراهی کنید.