ما هي تفاصيل ما تعرضت له الشبكة العنكبوتية ليلة امس؟وكيف تأثر الإنترنت في العالم؟وماعلاقة تويتر؟
|
2:05 م |
No Comments |
من اجل الاطاحة بالانترنت عالمياً "وهو قابل للتطبيق" ينبغي توجية حجم هائل من الطلبات (هي التي تسبب الضرر) نحو ما يسمى بـ Global Root Name Servers وهو الامر الذي حصل مع Dyn حيث انهم يعتبرون من احد مشغلي مثل هذه الخوادم الجذرية على مستوى العالم,
الهجوم جاء على فوجين, (الفوج) الاول ضرب 3 مراكز بيانات تابعه لـ Dyn وهي موزعة على شيكاغو, ونيويورك وواشنطن, الامر الذي تسبب بحجب الخدمة عن جانب الساحل الشرقي كاملا في الولايات المتحدة, لان المناطق الجغرافية تستمد خدماتها من اقرب سيرفرات عليها.
في ذلك الوقت كانت منطقة الشرق الاوسط لازالت قادره على التواصل مع المواقع الالكترونية,
الى حين الساعة 7:00 مسائاً (EST), كان (الفوج) الثاني قد ضرب حوالي 20 مركز بيانات تابع لـ Dyn على مستوى العالم, في ذلك الوقت بدات اثار الهجوم واضحة على مستوى العالم اجمع وليس فقط على مستوى الولايات المتحدة الامريكية.
الى حين الساعة 7:00 مسائاً (EST), كان (الفوج) الثاني قد ضرب حوالي 20 مركز بيانات تابع لـ Dyn على مستوى العالم, في ذلك الوقت بدات اثار الهجوم واضحة على مستوى العالم اجمع وليس فقط على مستوى الولايات المتحدة الامريكية.
طبعا من اجل التوضيح اكثر, فانه بعد انتهاء مدة الهجوم عادت كل المواقع تقريبا للعمل بفارق زمني بسيط وذلك يدل على ان الهجوم لم يستهدف قائمة المواقع التي قد تضررت بشكل مباشر لكنها الخطة الاكثر ذكائاً من اجل الاطاحة بنصف خدمات االشبكة العنكبوتية المتمثلة في خدمات هذه المواقع من تويتر وغيرها.
من ناحية تقنية فإنه تم إعادة توجية الطلبات وتكثيف هذه الطلبات لتكون خوادم الـ Dyn هي ضحية معالجة الكم الهائل من هذه الطلبات والتي تعتبر ابسط شيء ممكن ان تقوم به عند كتابة اسم موقع معين فان راوتر المنزل الخاص بك لن يفهم الحروف المكونه لاسم الموقع وانما سيتعامل مع الارقام (لغة الارقام) من خلال رقم الايبي الخاص بالموقع والمسند له من خلال الـ DNS,على غير العادة تم استخدام TCP SYN Floods attack بالاضافة الى Subdomain attacks او هجوم الناطق الفرعي, من خلال رقم منفذ 53 .
خطوات تنفيذ الهجوم:
قام القراصنة بالاعتماد على مواقع حقيقة ومعروفة, على سبيل المثال:
khairalhamad . com
ولنفرض ان الموقع هو موقع صحيح وموجود, فان خادم الـ DNS سيجد الموقع وسيقوم بالاستجابة للطلب بشكل طبيعي.
#لكن قام القراصنة بطلب نطاق فرعي غير صحيح تابع للموقع الصحيح كالتالي:
fake . khairalhamad .com
khairalhamad . com
ولنفرض ان الموقع هو موقع صحيح وموجود, فان خادم الـ DNS سيجد الموقع وسيقوم بالاستجابة للطلب بشكل طبيعي.
#لكن قام القراصنة بطلب نطاق فرعي غير صحيح تابع للموقع الصحيح كالتالي:
fake . khairalhamad .com
في هذه الحالة فان خادم الـ DNS للموقع المطلوب لن يجده في الكاش الخاص به, طبعا لانه وهمي وغير صحيح, لذلك فان خوادم الـ DNS ستقوم بالعودة لـ المرجع المعتمد لنطاق الموقع المطلوب وفي هذه الحالة كانت خوادم الـ DNS ترجع للـ Dyn باعتباره المرجع المعتمد لذلك النطاق للبحث فيما اذا كان النطاق الفرعي الوهمي موجود لديهم ام لا, في مثل هذه #الحالة فان خوادم الـ Dyn الجذرية سيتم طفحها بكم هائل ومجنون من طلبات خوادم الـ DNS بحثا عن نطاق فرعي غير موجود من الاساس.
من هي الجهة المسؤولة عن الهجوم؟
يقال ان روسيا او الصين تقف خلف هذه الهجمات ولكن لم يتم اثبات اي دليل,
في الوقت الحالي يوجد جهه مجهولة اعلنت مسؤوليتها عن الهجمات عبر حسابهم
على تويتر NewWorldHacking لكن يبدو ان الحساب محمي من قبل تويتر
لغرض التحقيق.
يقال ان روسيا او الصين تقف خلف هذه الهجمات ولكن لم يتم اثبات اي دليل,
في الوقت الحالي يوجد جهه مجهولة اعلنت مسؤوليتها عن الهجمات عبر حسابهم
على تويتر NewWorldHacking لكن يبدو ان الحساب محمي من قبل تويتر
لغرض التحقيق.
ما علاقة المالوير "ميراي" بهذا الهجوم؟
تشير التحقيقات ان هذا المالوير الخبيث الذي يستهدف ويصيب اجهزة خدماتية متصلة بالانترنت مثل الاشارات الضوئية, حساسات الحرارة والبروده في الشوارع, كاميرات المراقبة, بوابات التحكم الالي بالمرافئ وغيرها من الاجهزه التي تتصل بالانترنت وهو ما يعرف بـ IoT ,Internet Of Things او انترنت الاشياء , التقارير تشير الى 50 الف لـ 100 الف جهاز من هذه الاجهزه معظمها كاميرات مراقبة كان قد تم توجيهها بشكل خبيث بواسطة "ميراي"من اجل طفح خوادم الـ Dyn او بالمسمى المباشر لهذه الجهة Dynamic Network Services Inc, تشير التقارير الى ان حجم نشاط هذا المالوير الخبيث في الهجوم ليلة امس كان يشكل فقط 20% كحد اقصى, اما ما تبقى فهو يعود للتخطيط الناجح من قبل القراصنة من خلال تسخير عناصر اخرى مثل السيرفرات المخترقة مسبقا, بوت نت باعداد كبيرة, اجهزه مستخدمين مخترقة مسبقا على النحو التالي:
1. طفح النظام المستهدف من خلال TCP SYN Flood
2. عملية البحث في نطاق فرعي وهمي يتم ادارته بواسطة الهدف نفسه من خلال العودة الى المرجع المعتمد الا وهو الـ Dyn
2. عملية البحث في نطاق فرعي وهمي يتم ادارته بواسطة الهدف نفسه من خلال العودة الى المرجع المعتمد الا وهو الـ Dyn
ليحدث الامر التالي, تقوم الخوادم المحلية للـ DNS بالبحث عن النطاق الفرعي الوهمي في حالتنا Fake من بين الكاش المتواجد حاليا وعند ادراك انه غير موجود تقوم هذه الخوادم بالاتصال بالمرجع المعتمد لـ الموقع khairalhamad وذلك من اجل السؤال فيما اذا كان النطاق الفرعي مسجل لديهم او متواجد في سجلات الكاش! فيكون الجواب "لا ليس موجود" كاف بتكرار نفس الجواب تريليونات المرات من قبل خوادم الـ Dyn الجذرية وذلك كفيل للاطاحه بها واخذ نصف الشبكة العنكبوتية معها.
ما علاقة Twitter وبقية المواقع المتضررة اذا؟
كما تحدثت سابقاً, فان هذه الهجمات لم تكن موجهة بشكل مباشر للمواقع وإنما للمرجع المعتمد لخدمة هذه المواقع الا وهو Dyn فلو كان Twitter زبون شركة مرجعية معتمدة غير الـ Dyn لما تضرر تويتر ناهياً, هل تعتقد ان موقع LinkedIn المهترئ اقوى من العملاق Twitter؟
كم بلغ حجم او قوة الهجوم؟
من المعروف ان الكود المصدري للمالوير الخبيث Mirai سجل في وقت سابق من هذا العام قوة وصلت الى 700 غيغا بالثانية الواحدة, لكن في الهجوم الذي وقع ليلة امس فقد سجل قوة وصلت لـ تيرا (1024 غيغا) و 232 غيغا و 14 ميغا بالثانية الواحدة!1,256 قوة هائلة لو استمرت لمدة اطول كان من الممكن ان تتسب باندلاع حرائق داخل مراكز البيانات جراء ارتفاع درجة حرارة الخوادم, لكن هنا تكمن اهمية انظمة التبريد التي تعتبر اساسية في اي مركز بيانات محترم, بالمناسبة الذي قام بفضح ونشر الكود المصدري لهذا لمالوير "ميراي" هو قرصان يحمل اسم مستعار Anna Senpai, في وقت اخر من هذا العام, ويعود لفظ ميراي الى اللغة اليابانية ويعني "المستقبل"!
ما هي جذور المشكلة التي حصلت؟
من وجهة نظري جذور المشكلة تكمن في الاعتماد المركزي على مستوى العالم على مصدر موحد لمثل هذه الخدمات, فلو تم استهداف كل مراكز هذه الخدمات سيتم الاضرار بهيكلية الشبكة العنكبوتية على مستوى العالم وليس فقط في القسم الغربي او الشرقي من الكرة الارضية و #اعتقد ان الحل يكمن في عدم الاعتماد المركزي عالميا على مثل هذا النوع من الخدمات من مزود واحد او اثنين او ثلاث, يجب فك التبعية والارتباط المباشر بمثل هذه المزودات, واتوقع ان تقوم فيسبوك وجوجل باستغلال الحادثة بشكل تجاري اكثر للترويج لنفس الخدمة على مستوى اوسع عالمياً.
هل يوجد اي احتمال لتكرار هذه الهجمات؟
نعم يوجد احتمال, لانه لا يوجد حل ثابت للان لهجمات الحرمان من الخدمة, وانا اتوقع انه اذا تم شن هجمة اخرى على اكثر من مرجع معتمد وليس فقط على الـ Dyn لوحده فانه من المحتمل ان يتم فصل الشبكة العنكبوتية بشكل كاملاً بما في ذلك جووجل وفيسبوك عالميا لمدة زمنية طويلة قد تصل لايام او اسابيع.
هل يوجد طريقة اخرى لحجب الشبكة العنكبوتية عالميا؟
نعم يوجد عدد من الاساليب التي من الممكن ان تعزل العالم عن بعضه, لكنها لا علاقة لها بالتكنولوجيا, احد هذه الاساليب يكمن في قطع الكيبلات البحرية العابره للمحيطات وذلك
سيضمن عزل تام للقارات عن بعضها البعض, لكن يتطلب هذا النوع من العمل تدخل افراد او جماعات او حتى جيش باكملة ليستطيع تفجير هذه الشبكة العملاقة من الكيبلات البحرية التي تربط القارات ببعضها.
-------------------
بقلم خير الحمد
بقلم خير الحمد
باحث في امن المعلومات
0 التعليقات:
إرسال تعليق