مانیتور شبکه‌ها ـ فوریه ۲۰۲۰

در مقایسه با آغاز سال، در ماه فوریه اینترنت در ایران کمتر دچار اختلال بود. مقامات دولتی مسئولیت برخی قطع و وصل‌های پراکنده را به قدرت‌های خارجی نسبت دادند و در همان حال به نظر می‌رسد تغییرات بزرگی در زیرساختِ شبکه‌ها شروع شده ‌است. 

برخلاف ژانویه (دی‌ماه) ــ که در آن شاهد موارد متعدد اخلال‌های مستمر و گاه قطع کامل اینترنت بودیم ــ در فوریه چندان به قطع طولانی شبکه در ایران برنخوردیم. با این حال، چند مورد را شاهد بودیم که از دوم فوریه / ١٣ بهمن شروع شد.

این موارد، برخلاف ژانویه، کوتاه‌مدت و محدود به نقاط جغرافیاییِ خاصی بودند. مقامات ایرانی ادعا می‌کنند این اختلال‌ها ناشی از حمله‌های منع سرویس یا دیداس (DDoS) بوده اما هنوز مدارک قانع‌کننده‌ای برای این ادعا ارائه نکرده‌اند.  

به باور ما، تعدادی  از این اختلال‌ها در این فاصله‌ی زمانی به دلیل عملکرد یک مرکز تبادل ترافیک اینترنتی (IXP) به نام «رایکیزا» (Rikeza Ltd) به وقوع پیوسته‌ که دولت ایران به تازگی شروع به استفاده از آن کرده‌است. مقامات کماکان از تأیید این موضوع و دادن هرنوع توضیح علنی راجع به این مرکز اجتناب می‌ورزند. 

روز هشتم فوریه / ۱۹ بهمن، حمید فتاحی مدیرعامل شرکت ارتباطات زیر ساخت (TIC) در یک توئیت نوشت که حمله‌های منع سرویس که باعث اختلال در شبکه‌ها شد از خارج از ایران هدایت شده بوده‌است: 

هکرهای اجاره‌ای، امروز گسترده‌ترین حمله تجربه شده در تاریخ ایران را علیه زیرساخت‌های کشور اجرا کردند. میلیونها مبدأ، میلیونها مقصد را هدف گرفته‌اند و با حمله «SYN flood»* [همزمان] با نرخ ۱۸۰ میلیون «PPS» [بسته در ثانیه] به دنبال اختلال سراسری در شبکه اینترنت ایران هستند. حمله دفع‌شده و دارند به دیوار می‌خورند.

* «سیل همزمان» (SYN flood) نوعی از حمله‌ی منع سرویس است که در آن یک هکر پی‌در پی و مدام درخواست‌های همزمان را به سِرور مورد هدف ارسال می‌کند تا همه‌ی منابع آن سِرور را چنان مشغول و درگیر کند که قادر نباشد به ترافیک مشروع کاربران پاسخ دهد. 

تحقیقات ما ادعای فتاحی را تأیید نمی‌کند. هرچند سجاد بنابی یکی از اعضای هیأت مدیره شرکت ارتباطات زیر ساخت که قبلاً به حمله‌های منع سرویس اشاره کرده بود، ۱۷ فوریه / ۲۸ بهمن درتوئیت دیگری گفت منشأ حمله‌ها داخل کشور بوده و از جانب «رقبای داخلی» صورت گرفته‌است. 

جزییات مشاهدات و یافته‌های ما در نمودارهای زیر آمده است. چنانچه در این مورد پرسشی داشته باشید می‌توانید با تیم ما درمیان بگذارید. 

نمره اخلال مجموع شبکه‌ها در ماه فوریه ۲۰۲۰

نمره اخلال تک‌تک شبکه‌ها در ماه فوریه ۲۰۲۰

۲ فوریه / ١٣ بهمن ـ اختلال‌هایی که برای ۱۳ شرکت خدمات اینترنتی پیش آمد

ما دست‌کم در مورد ۱۳ شرکت آی‌اس‌پی شاهد قطع و وصل شبکه بودیم. نقشه اطلاعات اوراکل (OIM) این مشاهده را تأیید می‌کند که در وهله نخست شامل استان‌های فارس، خوزستان و همدان شد.

۸ فوریه / ۱۹ بهمن ـ تعداد کمتری از شرکت‌های خدمات اینترنتی دچار اخلال شدند

طبق داده‌های نقشه اطلاعات اوراکل (OIM)، تعداد ارائه دهندگان خدمات اینترنت که دچار وقفه شدند از ۱۳ به ۷ کاهش پیدا کرد.

۸ فوریه، حمید فتاحی مدیرعامل شرکت ارتباطات زیرساخت (TIC) و سجاد بنابی از اعضای هیأت مدیره این شرکت ادعا کردند که وقفه‌های متعدد در خطوط شبکه اینترنت به دلیل حمله‌های منع سرویس یا دیداس (DDoS) از سوی نیروهای خارج از ایران رخ داده است. مقامات دولتی اطلاعات دیگری در مورد این ادعا ارائه نکردند و تحقیقات ما هم نتوانست منشأ این حمله‌های ادعا شده را بیابد.

یکی از منابع نزدیک به وزارت ارتباطات و فناوری اطلاعات به فیلترواچ گفت در مورد منشأ حمله‌های منع سرویس «شواهد مشخصی وجود ندارد» که منتشر شود. 

طبق اطلاعات داده شده توسط سیستم نظارت شبکه‌ای اطلاعات ابر آروان (آروان کلاود)، آرسیا تک، ایرانسل، های‌وب، و رسپینا در میان شرکت‌های ارائه‌دهنده خدمات اینترنتی بودند که بیشترین میزان اختلال را تجربه کردند. سپس، روز ۱۶ فوریه / ۲۷ بهمن، آروان‌کلاود به نحوی دچار اختلال شد که به اجبار تعدادی از  سرویس‌های ویدئویی (VSP) خود را قطع کرد تا بتواند در مقیاس محدودی به وبسایت‌های محلی و اپلیکیشین‌ها خدمت‌رسانی کند. 

۱۳ فوریه / ۲۴ بهمن ـ اختلال‌های شدید برای دو ارائه‌دهندة مهم خدمات گزارش شد

نقشه اطلاعات اوراکل (OIM) رتبه‌ی اختلال اینترنتی ۹۳.۵ را به فاصله‌ی زمانی‌ای داده که طی آن شرکت آریا شاتل و شرکت پارس‌آنلاین برای مدت کوتاهی تقریباً به تمامی رابطه‌شان با اینترنت بریده شد.  

کاهش شدید مسیریاب‌ها (traceroutes) ی آریاشاتل و پارس‌آنلاین در این نمودارها نشان می‌دهد این دو شرکت ارائه‌دهنده خدمات اینترنتی تقریباً به طور کامل ارتباط‌شان با اینترنت قطع شد.

۱۴ فوریه / ۲۵

 بهمن ـ آغاز به کارِ یک مرکز تبادل ترافیک اینترنتی جدید

رویداد قابل توجه در این روز افتتاح یک مرکز جدید تبادل ترافیک اینترنتی یا «آی‌اکس‌پی» (IXP) بود به نام «رایکیزا لیمیتد» (Rikeza Ltd). کمی بعد از این تاریخ در ۲۱ فوریه / ۲ اسفند، ما ناظر بودیم که ترافیکِ داده‌ها به طرز محسوسی از سایر «آی‌اکس‌پی»ها به این مرکز جدید انتقال پیدا کرد.

۱۶ فوریه / ۲۷ بهمن ـ قطع ارتباط مراکز نگهداری اطلاعات از اینترنت

تحقیقات ما نشان می‌دهد در این روز خدمات ویدئویی شرکت آروان کلاود که از مراکز اطلاعاتی موبین‌نت و آسیاتک عرضه می‌شد ارتباط‌شان با اینترنت قطع شد. همانروز کمی دیرتر سایت پیوست گزارش داد که شرکت ابرآروان مورد حمله سایبری منع سرویس (DDoS) قرار گرفته و این حمله «منبع درونی و بیرونی» داشته‌است. طبق تحقیقات ما شواهدی مبنی بر اینکه سایر مراکز اطلاعاتی (دیتاسنترها) مورد حمله قرارگرفته باشند پیدا نکرد.

۱۷ فوریه / ۲۸ بهمن ـ شرکت ارتباطات زیرساخت رقیبان داخلی را مسؤل حمله‌های سایبری اعلام می‌کند

طی چند روز اختلال در شبکه‌ها میان ۲ تا ۱۷ فوریه / ۱۳ تا ۲۸  بهمن، مقامات ایرانی چندین بار ادعا کردند که هکرهای خارجی مسؤل حمله‌های منع سرویس بوده‌اند. اما روز ۱۷ فوریه / ۲۸  بهمن سجاد بنابی عضو هیأت مدیره شرکت ارتباطات زیرساخت در توئیت خود نوشت: «محتمل است رقبای داخلی این شرکت‌ها منشأ حمله باشند.»

۲۱ فوریه /  ۲ اسفند ـ انتقال ترافیک به آی‌اکس‌پی جدید

طبق خبر وبسایت تهران آی‌اکس‌پی، یک مرکز تبادل ترافیک اینترنتی (IXP) جدید که ۱۴ فوریه / ۲۵ بهمن افتتاح شده‌بود دارای ۱۶ عضو است، شامل:  

• افرانت    Afranet AS25184
• آسیاتک    Asiatech AS43754
• آوابرید   Avabarid AS51431
• فناپ    Fanap AS24631
• گرین‌وب    Greenweb AS61173
• های‌وب    Hiweb AS56402
• هوست‌ایران    Hostiran AS59441
• ایرانسل    Irancell AS44244
• ام‌سی‌آی    MCI AS197207
• موبین‌نت    Mobinnet AS50810
• پارس‌آنلاین    Pars Online AS16322
• شرکت توزیع ارتباطات پیشگام    Pishgaman Toseeh Ertebatat Company AS49100
• رسپینا    Respina AS42337
• رایتل    Rightel AS57218
• شاتل    Shatel AS31549 and
• شرکت مخابرات ایران    Iran Telecommunication Company PJS AS58224

نقشه اطلاعات اوراکل همچنین نشان می‌دهد که انتقال دیگری هم از این شرکت‌ها صورت گرفته: تی‌آی‌سی (AS12880)، افروز (AS43395)، شرکت فارا نگارپرداز نور خوزستان (AS49596)، شرکت سروش رسانه (AS21341)، و آریاست (AS43343).

این نشان می‌دهد که تهران آی‌اکس‌پی به سیستم ارتباط شبکه‌ای این شرکت‌ها اضافه شده‌است. در نمودارهای زیر این انتقال‌ها برجسته شده‌اند.

۲۳ فوریه ـ اختلال‌های ناشناخته در مراکز اطلاعات موبایل شرکت ایرانسل

طبق گزارش‌های کاربران، در بخش‌هایی از تهران، خدمات دیتاسنترهای موبایل شرکت ایرانسل دچار قطع ارتباط‌های موقت شد (هربار حدود دو دقیقه). شرکت ایرانسل و وزارت مخابرات هیچ‌کدام در این مورد توضیحی ندادند.

تیم تحقیقات ما بر این عقیده است که قطع سرویس موبایل به خاطر افتتاح مرکز تبادل ترافیک اینترنتی «تهران آی‌اکس‌پی» رخ داده است که در ابتدای فعالیت خود برای ایرانسل (AS44244) هنوز به خوبی کار نمی‌کرده است. نقشه اطلاعات اوراکل نشان می‌دهد که ایرانسل در تاریخ ۲۱ فوریه/ دوم اسفند به «رایکیزا لیمیتد» پیوست اما ۲۵ فوریه / ۶ اسفند ارتباط آن قطع شد.

داده‌های ما همچنین نشان می‌دهد که رایکیزا خودش نیز روز ۲۳ فوریه / ۴ اسفند دچار قطع سرویس شد که احتمالاً توضیح می‌دهد چرا کاربر مذکور قادر به ارتباط با اینترنت نشد.

۲۶ فوریه / ۷ اسفند ـ اختلال‌های کوتاه در ۵۰% خطوط  پروتکل دروازه‌ای مرزی (BGP)

داده‌های نقشه اطلاعات اوراکل نشان داد اختلال‌های کوتاه‌مدت در ایران بیش از نیمی از مسیرهای بی‌جی‌پی را در ایران تحت تأثیر قرار داد.

—