هشدار ابر آروان درباره حملات گسترده DDoS با سوء استفاده از MTProxy تلگرام
سرویس تلگرام در ۱۰ اردیبهشت ۱۳۹۷ به دستور یک بازپرس بهشکل کامل مسدود شد. یکی از امکانات تلگرام استفاده از الگوریتم رمزنگاری غیرمتقارنی به نام MTProto در راستای رمزنگاری محتوا بود. بعدها تلگرام از سرویسی با نام MTProxy استفاده کرد تا بتواند به کمک این پروتکل با فیلترینگ ایران مقابله کند.
نفوذ بسیار بالای تلگرام در ایران باعث شد کاربران بیشماری علاوه بر استفاده از فیلترشکنها به فکر استفاده از MTProxyهای رایگان بیفتند. افرادی که بیاطلاع از همهجا امروز تبدیل به باتنتهای یک شبکهی بزرگ خرابکاری اینترنتی شدهاند.
ابر آروان با تحلیل حملات گستردهی روزهای گذشته به زیرساختهای خود یک نوع حملهی کاملن توزیعشدهی جدید را تشخیص داد. این حملات تفاوتهای اساسی با حملات پیشین داشتند:
- این حملات مستقیما به آدرس IP و پورت ۸۰ سرورهای لبهی ابر آروان ارسال شده بودند و اثری از دامنهای خاص در درخواستهای آنها یافت نمیشد.
- ترافیک دریافتی کاملا تصادفی به نظر میرسید. حتا آنتروپی محاسبه شده روی اطلاعات درخواستهای دریافتی تقریبن معادل ۴ بود.
- ترافیک دریافتی در لایهی ۷ بود. اما از هیچ یک از پروتکلهای معروف این لایه مانند HTTP، HTTPS، FTP و… پیروی نمیکرد.
- حمله کاملا داخلی بود و IP های حملهکننده، در داخل کشور قرار داشتند.
تصویر ۱: درخواستهای عادی به سرورهای لبهی ابر آروان
حجم بالای این حملات میتوانست بسیاری از وبسایتها و سامانههای آنلاین را دچار اختلال کند، اما برای ساختار توزیع شده و سامانههای جلوگیری از حملات DDoS ابر آروان مقابله با این حملات کار سختی به نظر نمیرسید، اما تحلیل این حملات به آسانی همیشه نبود.
نه از دادههای ارسالی میتوانستیم سرنخی به دست آوریم، نه نشانیهای درخواستهای ارسالی الگوی مشترکی داشتند که بتوانیم از آنها استفاده کنیم.
تصویر ۲: درخواستهای ارسالی به سرورهای لبهی ابر آروان در حمله
کشف منشا
برای یافتن منشا حملات، فعالیتهای زیادی انجام شد که بسیاری از آنها شکست خوردند. اما در ساعات انتهایی روز شنبه، به حدسی هوشمندانه دست یافتیم؛ شاید ترافیک برای سرویس MTProxy نرمافزار تلگرام باشد!
چند نکته در ترافیک نمونهگیری شده وجود داشت که این حدس را تقویت میکرد:
- ترافیک سرویس MTProxy رمزنگاری شده است و ترافیک رمز شده معمولا رفتاری مانند ترافیک تصادفی دارد. همچنین در پروتکل MTProto این درهمریختگی تصادفی، تشدید نیز میشود.
- متاسفانه با فیلتر شدن تلگرام استفاده از سرویس MTProxy برای دور زدن فیلترینگ، روی این سرویس بسیار شایع شده است که با توزیعشدگی شدید این حمله تطابق داشت.
- ارسال و استفاده از سرویسهای رایگان MTProxy در کانالهای تلگرام امری شایع و ساده است. بهراحتی میتوان با تغییر نشانی IP یکی از این سرورها به نشانی ابرآروان، ترافیک مشابه ایجاد کرد.
- به دلیل ساختار استفاده از سرویس MTProxy، چند نشانی به عنوان سرور در اختیار نرمافزار قرار میگیرد که اگر هرکدام از این سرورها کار نکند، تلگرام از سرور بعدی استفاده میکند. در نتیجه کاربر متوجه تغییر نشانی IP سرور MTProxy نمیشود.
با شبیهسازی سناریوی احتمالی، حدس سرویس MTProxy تقویت شد. ترافیک ایجاد شده به ترافیک دریافتی شباهت زیادی داشت. موضوعی که با بررسی ترافیک نمونهگیری از درستی آن اطمینان پیدا کردیم.
سخن پایانی
در این یادداشت به رخدادی اشاره کردیم که به احتمال زیاد حملهای است که در نوع خود تاکنون گزارش نشده است. این مشکل از فیلتر شدن تلگرام شروع میشود. نبود نگاه چند جانبه نسبت به فناوریهای روز باعث حذف یک پیامرسان با میلیونها مخاطب شد، موضوعی که در مقاطع مختلف با تهدیدات متفاوتی کشور را مواجه کرده است.
رواج بیش از اندازه نسخههای غیر اصل از تلگرام که متهم به سو استفاده از دستگاههای شخصی کاربران ایرانی بودند یکی از این موارد، و اکنون نیز استفاده از MTProxy رایگان، و ترویج آن تهدید بزرگ دیگری را در برابر کاربران ایرانی قرار داده است.
در حال حاضر ابر آروان هشدار جدی میدهد که اگر تصمیمات سختی اتخاذ نشود، مدیران کانالهای تلگرامی که اقدام به ترویج MTProxyهای رایگان میکنند، دو قدرت بسیار مهم در اختیار خواهند داشت:
- سو استفاده از کاربران بیشمار ایرانی برای DDoS کردن وبسایتهای یا سامانههای حیاتی کشور
- گمراه کردن دستگاههای حاکم بر فضای سایبری و قربانی کردن سرورهای بیگناه با ارسال ترافیک MTProto به این سرورها