راهکار ابر آروان برای مقابله با بزرگ‌ترین حمله‌ی DDoS به زیرساخت کشور

روز یک‌شنبه ۲۷ بهمن ۹۸، زیرساخت کشور به‌ویژه دیتاسنترها، گسترده‌ترین حمله‌ی DDoS ایران را تجربه کردند که منجر به اختلالات گسترده‌ای در زیرساخت کشور شد و مشتریان محصول رایانش ابری آروان نیز از آن متاثر شدند.

با توجه به نشانه‌گیری دیتاسنترها در این حمله، می‌توان این‌گونه برداشت کرد که نهادهای حاکمیتی و کسب‌وکارها در جایگاه بزرگ‌ترین مصرف‌کنندگان دیتاسنترها، هدف اصلی این حملات بوده‌اند.

به گفته‌ی امیر ناظمی؛ معاون وزیر ارتباطات و فناوری اطلاعات سطح این حملات، تا پیش از این تجربه نشده بوده و پیک حملات نسبت به کل ماکزیمم تاریخ گذشته، از هفته پیش دو برابر شده بودند. به گفته‌ی او برخی دیتاسنترهای کشور تاکنون با چنین حملاتی مواجه نبوده‌اند و آمادگی لازم را هم نداشتند که بخواهند با این حملات برخورد کنند.

اما به دنبال این اتفاق و هم‌زمانی آن با رویداد سالانه‌ی ابر آروان به نام سوار ابرها و در موقعیتی که نهادهای بالادستی حاضر به پذیرش اعلام این حملات نبودند، برخی ابر آروان را به کم‌توجهی نسبت به سرویس‌هایش متهم کردند.

یک روز بعد، نهادهای بالادستی این حملات را تایید و آن را بی‌سابقه‌ترین حمله نامیدند.

فرهاد فاطمی؛ ناخدای فنی و هم‌بنیان‌گذار ابر آروان روز دوشنبه در مصاحبه با زومیت توضیح داد: «حدود یک هفته است که دیتاسنترها و سرویس‌دهندگان مختلف اینترنت مانند افرانت و ایران‌سرور حملات DDoS را تجربه می‌کنند و این حملات با شدت بیش‌تر، از دیروز روی ابر آروان و دو دیتاسنتر مبین‌نت و آسیاتک آمده و درنهایت، به محدودشدن دسترسی برخی دیتاسنترها به ایران منجر شده است. در حمله‌ی دیروز، به اکثر دیتاسنترهای کشور حمله شد؛ اما احتمالن شدیدترین حمله به ابر آروان معطوف بوده است.»

چرا در حمله به دیتاسنترها، سرویس‌ رایانش ابری آروان تا این اندازه متاثر شد؟

به‌طور کلی دیتاسنترهای داخل کشور سیاست کارآمدی برای مواجهه با مواردی از این دست، حتا در سطح حملات سبک‌تر، ندارند. در چنین مواقعی اگر حجم ترافیک ورودی به دیتاسنتر منجر به پر شدن پهنای باند آن‌ها شود –که این پهنای باند بین ۵ تا ۵۰ گیگابیت در دیتاسنترهای مختلف، متفاوت است- دیتاسنترها دسترسی آن IP به اینترنت را قطع می‌کنند؛ چرا که دیتاسنتر به‌ازای هر مگابیت ترافیک باید به شرکت ارتباطات زیرساخت هزینه پرداخت کند، حتا زمانی‌که پهنای باند آن با حجم کاذب حملات پر شده باشد. در نتیجه، دیتاسنترها در چنین مواقعی به‌جای راه‌حل، IP مورد حمله را قطع می‌کنند.

در این حمله‌ی اخیر، هکرهای خارجی و داخلی نیز با آگاهی از این نوع واکنش دیتاسنترهای ایرانی، یک IP را هدف قرار داده و به‌محض Iran Access شدن آن IP، به سراغ IP و IPهای بعدی می‌رفتند در نتیجه‌، Range گسترده‌ای از IPهای IaaS ابر آروان در این حملات قربانی شدند.

راهکار ابر آروان برای مواجهه با این حملات و دردسترس آوردن سرویس رایانش ابری چه بود؟

ابر آروان پیش از این، با حجم بالاتری از حملات DDoS در سرویس CDN مقابله کرده بود و هم‌چنان توانی فراتر از این حملات برای مواجهه با حملات DDoS دارد اما دفع این نوع حملات DDoS که روی دیتاسنترها اتفاق می‌افتد، نیازمند دو امکان اساسی برای تشخیص ترافیک DDoS از ترافیک سالم است:

• پهنای باند بالا
• در اختیار داشتن Firewallهای هوشمند

که هیچ‌کدام از این دو مورد در داخل کشور دردسترس نیستند و در عمل با افزایش پهنای باند مصرفی، برای دیتاسنترها به‌صرفه نیست که با این حملات مقابله کنند.

ابر آروان هر دو امکان پهنای باند بالا و Firewall هوشمند را در محصول CDN خود در اختیار داشت و با بی‌نتیجه ماندن همکاری از سمت دیتاسنترهای میزبان و نهادهای حاکمیتی، ابر آروان با تکیه بر این قابلیت‌های داخلی خود ترافیک IaaS را مشابه ترافیک CDN از مسیری با پهنای باند کافی و مجهز به Firewall هوشمند به‌سمت پاپ‌سایت‌های خارجی خود فرستاد تا بتواند ترافیک سالم را از ناسالم جدا و تنها ترافیک سالم را به داخل کشور هدایت کند.

در این مسیر ابر آروان برای دردسترس آوردن سرویس رایانش ابری در همان روز یک‌شنبه با مشکل روبه‌رو بود، باید Range رایانش ابری آروان به Providerهای بالادستی اعلام می‌شد تا ترافیک آن برای فایروال‌های CDN ابر آروان فرستاده شود؛ اما متاسفانه روز حمله، روز تعطیلی Providerهای بالا دستی CDN ابر آروان در خارج از کشور بود و این اقدام به روز بعد موکول شد.

با حل مشکلات در روز دوشنبه، از عصر این روز، IPهای IaaS ابر آروان به اینترنت وصل شدند و سیستم به حالت عادی بازگشت.  ابر آروان امیدوار است با این شیوه که در این موقعیت سخت به آزمون گذاشته شد، بتواند در موقعیت‌های مشابه، پایداری بیش‌تری را برای سرویس رایانش ابری خود فراهم کند.