تلسکوپ شبکهای که با نام darknet، Internet motion sensor یا black hole نیز شناخته میشود، سیستم اینترنتی است که میتواند رویدادهای بزرگی که در اینترنت رخ میدهند را مشاهده کند.
ایده استفاده از تلسكوپ شبكهای، بهرهگیری از ترافیك آدرسهای تخصیص نیافته است. در واقع ترافیكی كه به سمت آدرسهای نامشخص ارسال میشوند، مشکوک هستند. زیرا در چنین آدرسهایی هیچ سرویسی ارائه نمیشود و بنابراین هر ترافیكی که به این آدرسها ارسال میشوند یا حاصل تنظیمات غلط شبكه و یا حاصل حملات و پویشهای شبكه است. بنابراین تمام ترافیکهایی که این آدرسها را دارند، مشکوک هستند و میتواند اطلاعاتی درباره حملات احتمالی شبکه (پویش تصادفی کرمها، و توزیع حملات DDoS) و دیگر پیکربندیهای نادرست ارائه دهند.
در حملات DoS با آدرسهای جعلی، درخواستی به قربانی فرستاده میشود و قربانی پاسخها را به آن آدرسهای جعلی بر میگرداند. بسیاری از این آدرسها میتوانند در محدودهی فضای تاریکِ شبکه باشند. بنابراین با زیر نظر گرفتن چنین آدرسهایی میتوان ترافیک واپاشی حاصل از حملات منع ارائه خدمت را مشاهده و حمله را کشف کرد. همچنین یک سیستم آلوده به کرم اینترنتی برای آلوده کردن سیستمهای دیگر، آدرسهای تصادفی ایجاد كرده و اقدام به برقراری ارتباط با آنها میكند. چنانچه آدرسهای تولید شده در محدوده تلسکوپ باشد، میتوان سیستمهای آلوده و گسترش کرمها را شناسایی کرد. همچنین میتوان با نظارت بر فضای آدرس تاریک، پویشهای تصادفی را نیز کشف کرد.
از آنجائیکه هیچ دلیل منطقی و قانونی برای ارسال بستهها از میزبان به سمت مقاصد نامعین وجود ندارد، این قبیل ترافیکها، مدرک قوی برای فعالیتهای خرابکارنه ارائه میدهند از قبیل توزیح حملات DDoS، پویش پورت، و کاوش فعالیت کرمهای فعال.
رزولشن تلسکوپ اینترنتی وابسته به تعداد آدرسهای نامشخصی است که مانیتور میشوند. برای مثال، تلسکوپ بزرگی که 16.777.216 ترافیک را مانیتور میکند، نسبت به تلسکوپی که 65.536 آدرس را مانیتور میکند، احتمال بیشتری برای کشف حملات دارد.
در دو مثال زیر نحوه عملکرد تلسکوپ شبکهای در مانیتورینگ ترافیک برای کشف حملات توضیح داده شده است. در مثال اول نحوه عملکرد آن در کشف حملات DoS توضیح داده شده است:
همانطوریکه در شکل زیر مشاهده میکنید هکر، بستههایی با آدرس منبع جعلی به قربانی ارسال میکند:
از آنجائیکه قربانی نمیتواند بین ترافیک قانونی و ترفیک DoS تمایزقائل شود بنابراین به بستههای هکر پاسخ میدهد (شکل 2)
فرض کنید تلسکوپ شبکهای ما، 256/1 فضای آدرسهای IP را تحت پوشش قرار میدهد بنابراین تقریبا به همین میزان از ترافیک مربوط به پاسخها با بستههای جعلی که توسط قربانی تولید شده است را دریافت میکند (شکل 3)
به مثال دیگر استفاده از تلسکوپ شبکهای برای یافتن کرمها توجه کنید:
بسیاری از کرمهای اینترنتی با IPهای تصادفی که توسط سیستمنهای آلوده تولید میشوند منتشر میشوند. از آنجائیکه تلسکوپ شبکهای، 256/1 فضای آدرس IP را مانیتور میکند، تقریبا از هر 256 بسته خروجی از سیستمهای آلوده شده، 1 بسته را دریافت میکند. بنابراین تلسکوپ شبکهای، سیستمهای جدید آلوده و نیز سرعت انتشار کرم را مشاهده میکند.
نتیجه گیری
یکی از چالشهای اساسی برای تحلیل رویدادهایی مثل انتشار کرمها در سطح اینترنت، بررسی رفتار آنها است. با مانیتورینگ یک نقطه، ممکن است مراحل انتشار کرم، و یا بطور کلی، جنبههای مختلف رفتار آن را از دست دهیم از قبیل اینکه ندانیم چند تا سیستم آلوده شده است، سرعت پیشرفت آن چقدر بوده است، چه فعالیتهایی انجام میدهد.
تلسکوپهای شبکهای با مانیتور کردن ترافیک ارسال شده، ابزاری قدرتمند برای مشاهده شکلهای مختلف وارسی از قبیل پویش توسط هکرها و کرمها هستند. فایروال پاوان با قابلیت های پیشرفته در زمینه مانیتورینگ مانع حملاتی از جملهDDOS پیشرفته می شود. برای اطلاعات بیشتر به بخش محصولات پاوان مراجعه کنید