تلسکوپ شبکه ای

تلسکوپ شبکه‌ای که با نام darknet، Internet motion sensor یا black hole نیز شناخته می‌شود، سیستم اینترنتی است که می‌تواند رویدادهای بزرگی که در اینترنت رخ می‌دهند را مشاهده کند.

ایده استفاده از تلسكوپ شبكه‌ای، بهره‌گیری از ترافیك آدرس‌های تخصیص نیافته است. در واقع ترافیكی كه به سمت آدرس‌های نامشخص ارسال می‌شوند، مشکوک هستند. زیرا در چنین آدرس‌هایی هیچ سرویسی ارائه نمی‌شود و بنابراین هر ترافیكی که به این آدرس‌ها ارسال می‌شوند یا حاصل تنظیمات غلط شبكه و یا حاصل حملات و پویش‌های شبكه است. بنابراین تمام ترافیک‌هایی که این آدرس‌ها را دارند، مشکوک هستند و می‌تواند اطلاعاتی درباره حملات احتمالی شبکه (پویش تصادفی کرم‌ها، و توزیع حملات DDoS) و دیگر پیکربندی‌های نادرست ارائه دهند.

در حملات DoS با آدرس‌های جعلی، درخواستی به قربانی فرستاده می‌شود و قربانی پاسخ‌ها را به آن آدرس‌های جعلی بر می‌گرداند. بسیاری از این آدرس‌ها می‌توانند در محدوده‌ی فضای تاریکِ شبکه باشند. بنابراین با زیر نظر گرفتن چنین آدرس‌هایی می‌توان ترافیک واپاشی حاصل از حملات منع ارائه خدمت را مشاهده و حمله را کشف کرد. همچنین یک سیستم آلوده به کرم اینترنتی برای آلوده کردن سیستم‌های دیگر، آدرس‌های تصادفی ایجاد كرده و اقدام به برقراری ارتباط با آنها می‌كند. چنانچه آدرس‌های تولید شده در محدوده تلسکوپ باشد، می‌توان سیستم‌های آلوده و گسترش کرم‌ها را شناسایی کرد. همچنین می‌توان با نظارت بر فضای آدرس تاریک، پویش‌های تصادفی را نیز کشف کرد.

از آنجائیکه هیچ دلیل منطقی و قانونی برای ارسال بسته‌ها از میزبان به سمت مقاصد نامعین وجود ندارد، این قبیل ترافیک‌ها، مدرک قوی برای فعالیت‌های خرابکارنه ارائه می‌دهند از قبیل توزیح حملات DDoS، پویش پورت، و کاوش فعالیت کرم‌های فعال.

رزولشن تلسکوپ اینترنتی وابسته به تعداد آدرس‌های نامشخصی است که مانیتور می‌شوند. برای مثال، تلسکوپ بزرگی که 16.777.216 ترافیک را مانیتور می‌کند، نسبت به تلسکوپی که 65.536 آدرس را مانیتور می‌کند، احتمال بیشتری برای کشف حملات دارد.

در دو مثال زیر نحوه عملکرد تلسکوپ شبکه‌ای در مانیتورینگ ترافیک برای کشف حملات توضیح داده شده است. در مثال اول نحوه عملکرد آن در کشف حملات DoS توضیح داده شده است:

همانطوریکه در شکل زیر مشاهده می‌کنید هکر، بسته‌هایی با آدرس منبع جعلی به قربانی ارسال می‌کند:

از آنجائیکه قربانی نمی‌تواند بین ترافیک قانونی و ترفیک DoS تمایزقائل شود بنابراین به بسته‌های هکر پاسخ می‌دهد (شکل 2)

فرض کنید تلسکوپ شبکه‌ای ما، 256/1 فضای آدرس‌های IP را تحت پوشش قرار می‌دهد بنابراین تقریبا به همین میزان از ترافیک مربوط به پاسخ‌ها با بسته‌های جعلی که توسط قربانی تولید شده است را دریافت می‌کند (شکل 3)

به مثال دیگر استفاده از تلسکوپ شبکه‌ای برای یافتن کرم‌ها توجه کنید:

بسیاری از کرم‌های اینترنتی با IP‌های تصادفی که توسط سیستمن‌های آلوده تولید می‌شوند منتشر می‌شوند. از آنجائیکه تلسکوپ شبکه‌ای، 256/1 فضای آدرس IP را مانیتور می‌کند، تقریبا از هر 256 بسته خروجی از سیستم‌های آلوده شده، 1 بسته را دریافت می‌کند. بنابراین تلسکوپ شبکه‌ای، سیستم‌های جدید آلوده و نیز سرعت انتشار کرم را مشاهده می‌کند.

نتیجه گیری

یکی از چالش‌های اساسی برای تحلیل رویدادهایی مثل انتشار کرم‌ها در سطح اینترنت، بررسی رفتار آنها است. با مانیتورینگ یک نقطه، ممکن است مراحل انتشار کرم، و یا بطور کلی، جنبه‌های مختلف رفتار آن را از دست دهیم از قبیل اینکه ندانیم چند تا سیستم آلوده شده است، سرعت پیشرفت آن چقدر بوده است، چه فعالیت‌هایی انجام می‌دهد.

تلسکوپ‌های شبکه‌ای با مانیتور کردن ترافیک ارسال شده، ابزاری قدرتمند برای مشاهده شکل‌های مختلف وارسی از قبیل پویش توسط هکرها و کرم‌ها هستند. فایروال پاوان با قابلیت های پیشرفته در زمینه مانیتورینگ مانع حملاتی از جملهDDOS  پیشرفته می شود. برای اطلاعات بیشتر به بخش محصولات پاوان مراجعه کنید