از ماست که برماست؛ استفاده از پروکسی‌های اختصاصی تلگرام بستری رویایی برای حملات DDoS

شاید آن روزی که دستور فیلترینگ تلگرام صادر می‌شد هیچ‌کس به این فکر نمی‌کرد که شاید این فیلترینگ روزی بلای جان بسیاری از سایت‌های ایرانی شود. اما اگر از خودتان می‌پرسید که این دو مقوله چه ارتباطی با هم دارند پیشنهاد می‌کنیم باید بگوییم که داستان در همین ابزار دسترسی به تلگرام نهفته است؛ پروکسی‌ها.

فیلترینگ تلگرام در روز 10 اردیبهشت 1397 مقدمه‌ای بود بر همان سناریو تکراری استفاده از روش‌های بر پایه پروکسی برای دسترسی به سرویس‌های محبوبی که به هر دلیلی فیلتر شده‌اند؛ سرویس‌هایی که به دلیل تمایل بسیار زیاد کاربران ایرانی به آنها، همواره نشان داده شده که فیلترینگ از داخل، بدترین و غیرموثرترین راهکار برای منع استفاده از آنهاست.

برای دسترسی به تلگرام یکی از روش‌ها، تغییر IP به سبک پروکسی‌ها هستند. در این روش‌ها کاربر باید از طریقی سرویس‌دهنده پروکسی خود را انتخاب کرده و در این نقطه است که داستان عجیبی که در ادامه مطلب به نقل از تیم سرویس ابری ایرانی «ابر آروان» بازگو می‌کنیم، اتفاق می‌افتد؛ روشی ساده که در ظاهر تنها یک تغییر IP است ولی در بطن خود می‌تواند پتانسیل بسیار بالایی برای ایراد بار پردازشی سنگین به سرورهای یک وبسایت و یا سرویس‌دهنده ثالث باشد.

MTProxy؛ شروع ماجرا

اما همانطور که گفتیم کاربران برای دسترسی به تلگرام باید دست به دامان تغییردهنده‌های IP شوند؛ روش ابتدایی تلگرام ارائه سرویسی با نام MTProxy است که به کاربران کمک می‌کند بتوانند به تغییردهنده‌های IP دسترسی پیدا کرده و از طریق آنها به تلگرام متصل شوند. در این حالت بسیاری از کاربران علاوه بر VPNهای رایگان همواره MTProxyهای دیگر را بدون اینکه منبع ارائه دهنده آنها را بشناسند مورد استفاده قرار داده و از طریق آنها به تلگرام متصل می‌شوند.

به تازگی سرویس‌دهنده بزرگ خدمات ابری ایرانی، شرکت «ابر آروان» گزارشی منتشر کرده که نشان می‌دهد با استفاده از پوشش ایجاد شده توسط این پروکسی‌ها، حملات DDoS می‌توانند به راحتی برنامه‌ریزی شده و عملکرد کاربرانی که در آن زمان از پروکسی مورد اشاره استفاده می‌کنند، بدون علم به عملکرد دقیق آن، تا چه حد می‌تواند مورد سوءاستفاده قرار بگیرد.

ابرآروان با تحلیل حملات گسترده‌ی اخیر به زیرساخت‌های شرکت خود پی به اتفاقی تازه در حوزه حملات سایبری برده که تفاوت‌های قابل توجهی با روش‌های پیشین دارد. در گزارش این شرکت مشخص شده که در ساعات نامشخصی از روز، گروهی از حملات با تعداد بسیار زیاد و البته بدون نقطه اشتراکی مشخص (مانند IP، سرویس دهنده و یا هر عامل شاخص دیگر) بار پردازشی سنگینی را روی سرورهای این شرکت وارد کرده‌اند.

نقطه اشتراک همه این حملات این بوده که عناصر ترتیب دهنده آن مستقیماً به آدرس IP شرکت ابرآوران و پورت 80 سرور لبه آن حمله‌ور شده و در کمال تعجب فاقد یک دامنه‌ی واحد به عنوان میزبان درخواست‌ها و حملات بوده‌اند.

نکته دیگری که ابرآوران در گزارش خود منتشر کرده این است که ترافیک دریافتی کاملاً تصادفی به نظر رسیده و حتی وقتی از معیارهای آماری آنتروپی برای تحلیل اطلاعات حملات استفاده شده، هیچ اشتراک مشخصی بین آدرس‌ها، حجم استفاده و سایر پارامترهای معیار در یک حمله سایبری، یافت نشده است.

اما مورد تأمل‌برانگیز دیگر این اتفاقات (بر اساس داده‌های بدست آمده آماری) ابرآروان نشان می‌دهد که ترافیک دریافتی در لایه 7 مدل OSI اتفاق افتاده ولی در کمال تعجب هیچ‌کدام از درخواست‌ها از پروتکل‌های معروف این لایه مانند HTTPS، FTP و یا HTTP تبعیت نمی‌کردند.

بنا بر مشاهدات و گزارش ابرآروان، شدت این حملات در روز چهارشنبه به حدود ۱۰۰ هزار درخواست در ثانیه رسیده که این میزان حمله آنقدر حجیم و وسیع است که می‌تواند بسیاری از وبسایت‌های داخلی را از دسترس خارج کند و عاملی که تعجب مضاعف متخصصین ابر آروان را برانگیخته آن بوده که منشاء حملات، داخل کشور بوده است.

اما مشکل از کجا بود؟
در همین زمین تئوری‌های زیادی را نمی‌توانیم برای منشاء مشکلات مطرح کنیم اما در داخل مجموعه ابرآوران اینطور حدس زده شد که شاید ترافیک ایجاد شده مربوط به سرویس MTProxy تلگرام باشد. از آنجایی که ترافیک‌ MTProxy حالت رمزنگاری شده دارد می‌تواند ظاهری بسیار شبیه به سیستم‌های تصادفی داشته باشد و این درهم‌ریختگی تصادفی وقتی که در مقیاس بالا استفاده شود تنها راهکار شناسایی را بر حدس و گمان ما محدود می‌کند.

در این حالت وقتی از سوی یک یا چندین کانال پرمخاطب، روی IP یک وبسایت یا سرور برنامه‌ریزی برای وارد کردن بار پردازشی برنامه ریزی شود، به دلیل حجم بالای درخواست‌ها جهت اتصال (نامربوط) به آن سرور، می‌توان در کسری از ثانیه، سرور مورد نظر را با اضافه بار یا OverLoad روبرو کرد. این ترافیک حجیم که عملاً منبعی از هزاران آدرس (هزاران کاربری که به MTProxy مورد نظر متصل شده‌اند) نامرتبط با یکدیگر دارد، حالتی شبیه به داده‌های تصادفی را ایجاد می‌کند که در عمل داده‌های رمزگذاری شده از مبادی مشخص خود هستند.

در ادامه و با مطرح شدن این احتمال، کارشناسان ابرآروان با شبیه‌سازی سناریوی احتمالی، حدس سرویس MTProxy را تقویت کرده و مشاهده کردند که ترافیک ایجاد شده در حالت تست، به ترافیک دریافتی روی سرورها شباهت بسیار زیادی دارد.

 این حمله به احتمال زیاد حمله‌ای است که در نوع خود تاکنون گزارش نشده و مسلماً از  فیلتر شدن تلگرام شروع می‌شود. متأسفانه نبود نگاه چند جانبه و کارشناسی نسبت به فناوری‌های روز، باعث حذف یک پیام‌رسان با میلیون‌ها مخاطب شده، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.

در نهایت ابرآروانی‎ها در اعلانی عمومی به افرادی که به این موضوع مرتبط می‌شوند هشدار جدی داده‌اند که اگر در این زمینه تصمیمات درستی اتخاذ نشود، مدیران کانال‌های تلگرامی که اقدام به ترویج MTProxyهای رایگان می‌کنند، دو قدرت بسیار مهم در اختیار خواهند داشت؛ یکی سوء استفاده از کاربران بی‌شمار ایرانی برای ایجاد حملات DDoS به وب‌سایت‌ها یا سامانه‌های حیاتی کشور و دیگری گمراه کردن دستگاه‌های حاکم بر فضای سایبری و ارسال ترافیک MTProto به سرورها که منجر به قربانی‌شدن آن‌ها می‌شود.