بزرگترین حمله DDoS تاریخ؛ حمله ۲۹٫۷ ترابیتی باتنت Aisuru و چطور Cloudflare جلوی آن ایستاد
۱. ماجرا از چه قرار بود؟
طبق گزارش رسمی Cloudflare، در سهماههی سوم ۲۰۲۵ این شرکت بزرگترین حملهی DDoS ثبتشدهی تاریخ را دفع کرده است؛ حملهای با پهنای باند ۲۹٫۷ ترابیت بر ثانیه و حدود ۱۴٫۱ میلیارد بسته در ثانیه که توسط باتنت Aisuru اجرا شده است.The Cloudflare Blog+1
Cloudflare میگوید Aisuru بین ۱ تا ۴ میلیون دستگاه آلوده (روتر خانگی، دوربین، و سایر IoTها) را در اختیار دارد و این حمله بهصورت کامل و خودکار، بدون دخالت انسانی، روی شبکهی Cloudflare خنثی شده است.The Cloudflare Blog+2eSecurity Planet+2
نکتهی مهم: این دیگر یک «حمله بزرگتر از میانگین» نیست؛ حملهای در مقیاس زیرساخت اینترنت است. تا چند سال پیش رکوردها حدود ۱–۲ ترابیت بر ثانیه بود؛ امروز صحبت از نزدیک ۳۰ ترابیت بر ثانیه است.Cloudflare
۲. چه چیز این حمله را «رکوردشکن» میکند؟
چند ویژگی کلیدی:
- حجم بیسابقه:
- اوج پهنای باند: ۲۹٫۷ Tbps
- اوج نرخ بسته: ۱۴٫۱ BppsThe Cloudflare Blog+2eSecurity Planet+2
- الگوی «فرشبمباران» (Carpet Bombing):
حمله از نوع UDP flood بهصورت carpet bombing بوده؛ یعنی به جای شلیک به چند پورت مشخص، روی میانگین ~۱۵ هزار پورت مقصد در ثانیه توزیع شده تا سیستمهای دفاعی را فریب بدهد.The Cloudflare Blog+2protoslabs.io+2 - حملهی فوقکوتاه و فوقسنگین:
این نوع حملات معمولاً فقط چند ده ثانیه طول میکشند (در این مورد حدود ۶۰–۷۰ ثانیه گزارش شده) اما چنان حجمی تولید میکنند که اگر زیرساخت آماده نباشد، همان چند ثانیه برای خواباندن سرویس کافی است.The Cloudflare Blog+1 - تکرار رکوردشکنی در یک سال:
فقط در سال ۲۰۲۵، Cloudflare چند رکورد پشت سر هم ثبت کرده:- ۷٫۳ Tbps (حملهی چندبرداری روی یک IP واحد)Tom’s Hardware
- ۱۱٫۵ Tbps (UDP flood عمدتاً از Google Cloud)The Hacker News+1
- ۲۲٫۲ Tbps (multi-vector، ۱۰٫۶ میلیارد بسته در ثانیه)Medium+1
- و نهایتاً ۲۹٫۷ Tbps با AisuruThe Cloudflare Blog+1
Cloudflare میگوید تنها در Q3 ۲۰۲۵ ۸٫۳ میلیون حمله DDoS را خنثی کرده و از ابتدای سال تا پایان Q3 به ۳۶٫۲ میلیون حمله رسیده؛ یعنی ۱٫۷ برابر کل سال قبل.The Cloudflare Blog+1
۳. باتنت Aisuru دقیقاً چیست؟
۳.۱. تبار و تکامل
- Aisuru یک باتنت کلاس TurboMirai / Mirai-born است؛ یعنی روی همان ایدهی اولیهی Mirai ولی با کد و ماژولهای پیشرفتهتر: ELF مالور برای لینوکس روی روترها و دیوایسهای IoT.CSO Online+2protoslabs.io+2
- برای فرماندهی و کنترل (C2)، از DNS-based C2 و تکنیکهای obfuscation استفاده میکند تا شناسایی آن سختتر شود.protoslabs.io
۳.۲. اندازه و سطح توزیع
- تخمین Cloudflare: ۱ تا ۴ میلیون میزبان آلوده در سراسر دنیا.The Cloudflare Blog+2Cloudflare+2
- بخش عمدهای از نودها، روترهای خانگی و دوربینها و مودمهای ضعیفامنیتی هستند که وصله و بهروزرسانی درست ندارند.Krebs on Security+2Krebs on Security+2
۳.۳. مدل کسبوکار
Aisuru فقط یک «باتنت برای سرگرمی» نیست:
- طبق تحلیلها، «botnet-for-hire» است؛ یعنی تکههایی از آن برای اجاره به حملهکنندگان مختلف فروخته میشود.The Cloudflare Blog+2Ampcus Cyber+2
- در ماههای اخیر، علاوه بر DDoS، بخشی از شبکه بهعنوان «residential proxy» به مجرمان سایبری اجاره داده میشود (برای ناشناسسازی ترافیک کلاهبرداری، brute-force، …).Krebs on Security+1
نتیجه: هر کسی که چند صد تا چند هزار دلار بپردازد، میتواند از طریق Aisuru ترافیکی در حد چند ترابیت بر ثانیه به سمت هر هدفی که بخواهد شلیک کند.
۴. آناتومی فنی حمله ۲۹٫۷ ترابیتی
۴.۱. لایه و بردار حمله
طبق گزارش Cloudflare و تحلیلهای مستقل:TechRadar+3The Cloudflare Blog+3eSecurity Planet+3
- لایهی شبکه (L3/L4):
- UDP flood با تکنیک Carpet Bombing
- بمباران همزمان هزاران آدرس و پورت روی شبکهی قربانی
- ویژگی ترافیک:
- نرخ اوجی ۲۹٫۷ Tbps
- اوج ۱۴٫۱ Bpps
- تصادفیسازی فیلدهای بسته (پورت مقصد، طول payload، فلگها، …) برای دورزدن signatureهای ساده
Cloudflare در همان گزارش Q3 میگوید سهم حملات UDP نسبت به فصل قبل ۲۳۱٪ رشد کرده و UDP به بردار اول حملات شبکهای تبدیل شده است.The Cloudflare Blog
۴.۲. مدت، ریتم و زمانبندی
- حملههای Aisuru معمولاً کمتر از یک دقیقه هستند ولی با شدت بسیار بالا.The Cloudflare Blog+2PC Gamer+2
- در Q3 ۲۰۲۵، Cloudflare گزارش میکند ۸۹٪ حملات لایهی شبکه و ۷۱٪ حملات HTTP در کمتر از ۱۰ دقیقه تمام میشوند؛ بخش زیادی حتی در چند ثانیه.The Cloudflare Blog
- این سبک «hit-and-run» برای تست دفاع و ایجاد اختلال ناگهانی ایدهآل است: مدتی که سیستمهای انسانی تازه متوجه موضوع شوند، حمله تمام شده اما خرابی باقی مانده است.
۴.۳. انتخاب اهداف
Cloudflare در گزارش Q3 میگوید Aisuru روی این بخشها تمرکز ویژه داشته است:The Cloudflare Blog+4The Cloudflare Blog+4CSO Online+4
- ارائهدهندگان مخابرات و ISPها
- شرکتهای بازی و پلتفرمهای گیمینگ (Steam, Riot, PlayStation Network و … – طبق گزارشهای مستقل)
- ارائهدهندگان هاستینگ و زیرساخت ابری
- خدمات مالی و فینتک
در بعضی موارد، حتی زمانی که خود ISP هدف مستقیم حمله نبوده، حجم خروجی باتنت از شبکهی آنها باعث اختلال جانبی در کاربران آن ISP شده است.
۵. چرا این حمله اینقدر خطرناک است؟
چند نکته استراتژیک که برای مقالهی تحلیلی مهماند:
- شکستن سقف ۲۰–۳۰ Tbps:
رسیدن به ~۳۰ Tbps نشان میدهد که ظرفیت باتنتهای IoT امروز در حدی است که میتواند خطوط ستون فقرات اینترنت (backbone) را اشباع کند، نه فقط دیتاسنتر یک شرکت. - تهدید برای زیرساخت حیاتی و دولتها:
Cloudflare هشدار میدهد اگر ترافیک Aisuru در حالتی که فقط «ناخواسته» از شبکهی ISPs عبور میکند میتواند بخشهایی از اینترنت آمریکا را دچار اختلال کند، حملهی مستقیم به:- زیرساخت حیاتی (برق، گاز، حملونقل)
- سلامت (بیمارستانها و EMS)
- سرویسهای دولتی و نظامی
- دسترسی ارزان به حمله در این مقیاس:
مدل botnet-for-hire باعث میشود این سطح از قدرت، فقط در اختیار دولتها یا APTهای بزرگ نباشد؛ یک گروه با بودجهی متوسط هم میتواند چنین ظرفیتی را اجاره کند.The Cloudflare Blog+2Ampcus Cyber+2 - سرعت رشد:
گزارشها نشان میدهد طی کمتر از یک سال، رکورد حملات از حدود ۳٫۸ Tbps (۲۰۲۴) به ۵٫۶، ۷٫۳، ۱۱٫۵، ۲۲٫۲ و نهایتاً ۲۹٫۷ Tbps رسیده است؛ نرخ رشدی که از توان بسیاری از سازمانها برای ارتقای دفاع پیشی میگیرد.TechRadar+4The Cloudflare Blog+4The Cloudflare Blog+4
۶. Cloudflare چطور این حمله را دفع کرد؟ (فنی و نسبتاً عمیق)
Cloudflare جزئیات دقیق پیادهسازی را کامل منتشر نمیکند، اما با کنار هم گذاشتن مستندات فنی قبلی و گزارش Q3 میتوان تصویر خوبی ساخت:Cloudflare+4The Cloudflare Blog+4The Cloudflare Blog+4
۶.۱. معماری شبکه و ظرفیت
- Cloudflare اعلام میکند ظرفیت شبکه جهانیاش حدود ۴۴۹ Tbps است؛ یعنی تئوریکاً میتواند چندین حمله در سطح دهها Tbps را همزمان جذب کند.Cloudflare
- ترافیک بهکمک Anycast روی صدها PoP در جهان پخش میشود؛ در نتیجه حتی اگر یک منطقه تحت فشار شدید باشد، بقیهی نقاط بخشی از ترافیک را جذب میکنند.
۶.۲. تشخیص خودکار و real-time
- Cloudflare سالهاست روی «autonomous edge DDoS protection» کار میکند: سیستمهای توزیعشدهای که روی هر نود شبکه، بیدرنگ الگوهای ترافیک را بررسی و تصمیمگیری میکنند.The Cloudflare Blog+1
- الگوریتمها با Thresholdهای پویا، آمار baseline و مدلهای anomaly detection (روی نرخ، Entropy آدرسها/پورتها، توزیع پروتکلها و …) تصمیم میگیرند که کدام ترافیک باید drop، rate-limit یا چالش شود.
۶.۳. تکنیکهای خنثیسازی در این حمله
بر اساس توضیحات Cloudflare دربارهی حملات hyper-volumetric (شامل همین رخداد):protoslabs.io+4The Cloudflare Blog+4The Cloudflare Blog+4
- فیلتر و Rate-Limit در لبه شبکه (edge):
- اعمال فیلتر روی UDP برای محدودههای پورت/پروتکل مشخص
- جمعکردن (aggregation) ترافیک مشکوک، و rate-limit روی جریانهای مشکوک بدون آسیب زدن به ترافیک سالم
- Carpet-Bomb Mitigation:
چون حمله روی هزاران پورت پخش شده، سیستم بهجای نگاه به پورت، روی الگوی حجم و توزیع آدرس تمرکز میکند؛ مثلاً:- جهش آنی ترافیک از صدها هزار IP جدید از کشورهای شناختهشدهی منبع DDoS
- correlation با IPهایی که در حملات قبلی باتنتهای Mirai-like دیده شدهاند
- Drop کردن در نزدیکترین نقطه:
کل ایده این است که تا حد ممکن قبل از رسیدن ترافیک به هستهی شبکه یا دیتاسنتر مشتری، همان در PoPهای مرزی drop شود. - عدم نیاز به مداخلهی انسانی:
Cloudflare صراحتاً میگوید هم حملهی ۳٫۸ Tbps (۲۰۲۴) و هم رکوردهای ۷٫۳، ۱۱٫۵، ۲۲٫۲ و ۲۹٫۷ Tbps، بهطور ۱۰۰٪ خودکار تشخیص و Mitigate شدهاند.TechRadar+4The Cloudflare Blog+4The Cloudflare Blog+4
۷. ریشهها و انگیزهها؛ چه کسی و چرا؟
در مورد حملهی خاص ۲۹٫۷ Tbps:
- Cloudflare و اکثر گزارشها هدف نهایی و هویت عاملان را علناً اعلام نکردهاند.TechRadar+3The Cloudflare Blog+3eSecurity Planet+3
- اما در همان گزارش Q3 و تحلیلهای مستقل چند الگوی روشن دیده میشود:TechRadar+4The Cloudflare Blog+4CSO Online+4
- تمرکز روی صنایع پولساز آنلاین: گیمینگ، فینتک، مخابرات، هاستینگ.
- پیوند با تنشهای ژئوپلیتیک: افزایش شدید DDoS روی صنایع معدن و خودرو همزمان با تنشهای تجاری اتحادیه اروپا–چین، و موج حملات همزمان با اعتراضات سیاسی (مثلاً در فرانسه و مالدیو).
- بازار کرایه DDoS: Aisuru عملاً زیرساختی است برای هر کسی که میخواهد با کمترین ریسک، بیشترین ضربه را بزند.
با توجه به این شواهد، میتوان گفت:
- Aisuru احتمالاً ترکیبی از بازیگران جنایی (برای اخاذی/حمله به گیمینگ و فینتک) و actorهای نزدیک به دولتها یا گروههای سیاسی را سرویس میدهد.
- اما هنوز یک انتساب قطعی و رسمی به دولت یا گروه خاص منتشر نشده و هر ادعای قطعی فراتر از این دادهها، حدس و گمان است.
معرفی سرویس جدید Razban: میزبانی امنِ مدیریتشده (Managed Secure Hosting)
سرویس جدید «میزبانی امن مدیریتشده» رازبان، بر پایه معماری امنیتمحور و نظارت دائمی طراحی شده است؛ مناسب سازمانهایی که به زیرساخت پایدار، امن و پشتیبانی تخصصی نیاز دارند.
در سالهای اخیر، حملات سایبری مرتبط با سرورهای میزبانیشده، خطری مداوم برای شرکتها و کسبوکارها بوده است. بسیاری از این رخدادها ناشی از پیکربندی نادرست، نظارت ناکافی، بهروزرسانیهای نامنظم و نبود لایههای امنیتی استاندارد است.
رازبان بهعنوان یک تیم تخصصی در حوزه امنیت و زیرساخت، با هدف رفع این نیاز حیاتی، سرویس جدید Managed Secure Hosting را ارائه میدهد—سرویسی که فراتر از «هاستینگ معمولی» است.
Managed Secure Hosting چیست؟
میزبانی امن مدیریتشده، ترکیبی از زیرساخت سختافزاری پایدار و پشتیبانی امنیتی فعال است.
در این سرویس، سرور شما فقط میزبانی نمیشود؛ بلکه بهصورت کامل مدیریت، ایمنسازی و پایششده تحویل داده میشود.
ویژگیهای کلیدی سرویس
۱. ایمنسازی چندلایه (Multi-Layer Hardening)
- پیکربندی امن وبسرور (Apache/Nginx)
- فعالسازی WAF اختصاصی
- محدودسازی سطح حمله (Attack Surface Reduction)
- فایروال نرمافزاری و سیاستهای امنیتی مبتنی بر نیاز هر سرویس
۲. پایش و نظارت مداوم
- کنترل لحظهای وضعیت سرویسها
- تشخیص رفتارهای غیرعادی و حملات بالقوه
- گزارشهای دورهای وضعیت سرور و امنیت
۳. مدیریت کامل بهروزرسانیها
- آپدیت سیستمعامل و پکیجها
- وصلههای امنیتی (Security Patches)
- بررسی سازگاری تغییرات قبل از اعمال
۴. بکاپهای منظم و قابل بازیابی
- نسخهبرداری دورهای
- ذخیره امن در سرورهای جداگانه
- امکان بازگردانی سریع
۵. پشتیبانی فنی و امنیتی تخصصی
تیم تخصصی رازبان مسئولیت کامل مدیریت زیرساخت را بر عهده دارد—از رفع خطا و مدیریت سرویس تا بهینهسازی امنیتی و عملکرد.
۶. محیط پایدار برای وبسایتها و سرویسهای حساس
این سرویس برای وبسایتها، APIها، پنلها و اپلیکیشنهایی طراحی شده که نیاز به در دسترسبودن بالا (High Availability) و امنیت مستمر دارند.
مناسب چه سازمانهایی است؟
- مجموعههایی که سرویسهای مهم تجاری روی سرور دارند
- کسبوکارهایی که تیم IT امنیتی داخلی ندارند
- سازمانهایی که بهدنبال زیرساخت پایدار و مدیریتشده هستند
- شرکتهایی که حملات مکرر یا Downtime تجربه کردهاند
جمعبندی
«Managed Secure Hosting» تنها یک سرویس میزبانی نیست؛ بخشی از زیرساخت امنیتی سازمان شماست.
رازبان با تجربه عملی در زیرساخت، مانیتورینگ و امنیت، این سرویس را طراحی کرده تا شما بدون نگرانی از پیچیدگیهای فنی، روی رشد کسبوکارتان تمرکز کنید.
چگونه از حملات Supply Chain در شرکتهای متوسط جلوگیری کنیم؟راهنمای کوتاه اما عملی
حملات زنجیره تأمین یکی از سریعترین روشهای نفوذ به سازمانها شدهاند. این راهنما مراحل عملی و واقعی برای کاهش ریسک را نشان میدهد.
مقدمه
در حملات Supply Chain، مهاجم بهجای هککردن مستقیم شما، از طریق سرویسها، فروشندگان یا نرمافزارهایی وارد میشود که شما به آنها اعتماد دارید.
این مدل حمله در سال ۲۰۲۵ شدیدتر شده است.
۱. ارزیابی امنیتی فروشندگان (Vendor Security Score)
اکثر شرکتها بدون بررسی امنیتی Vendor، اطلاعات حساس را در اختیار آنها قرار میدهند.
اقدامات فوری:
- بررسی SOC2، ISO 27001 یا حداقل پرسشنامه امنیتی
- الزام MFA
- بررسی لاگهای Vendor Access
۲. کنترل نسخه و Integrity نرمافزار
Package Managerها هدف اصلی حملات هستند.
برای زبانهای Python / Node / Go:
چک کن:
- hash / checksum پکیجها
- قفل نسخه (
package-lock.json,go.sum) - اسکن آسیبپذیری قبل از Build
۳. جداسازی محیطها
کد و سرویسهای بیرونی نباید با دسترسی Root یا داخل شبکه داخلی اجرا شوند.
راهکار:
- Containerization
- شبکه جدا (segmentation)
- دسترسی حداقلی (Least Privilege)
۴. نظارت بر رفتار Vendor
هر Vendor باید در SIEM لاگ داشته باشد.
بدترین اشتباه: «اعتماد کامل» بدون Logging.
جمعبندی
حملات Supply Chain پیچیده هستند، اما جلوگیری از آنها نیاز به تکنولوژی خارقالعاده ندارد.
با سه چیز میتوان بخش عمده ریسک را کاهش داد:
- بررسی Vendor
- کنترل Integrity
- جداسازی شبکه و سرویسها
تهدیدات هوش مصنوعی در ۲۰۲۵: واقعیتهایی که کمتر دربارهشان صحبت میشود
با رشد مدلهای هوش مصنوعی، تهدیدات ناشی از سوءاستفاده مهاجمان هوشمند وارد مرحله جدیدی شده است.
مقدمه
هوش مصنوعی دیگر یک ابزار صرف نیست؛ مهاجمان سایبری از مدلهای مولد و تحلیلی برای ساخت بدافزار، حملات فیشینگ هدفمند و بایپسکردن دفاعهای کلاسیک استفاده میکنند.
۱. حملات مولد (Generative Attacks)
مهاجمان با استفاده از مدلهای زبانی، حملات فیشینگ و Social Engineering را طوری تولید میکنند که:
- با رفتار فرد هدف همخوانی دارد
- ساختار زبانی شخصی دارد
- قابل شناسایی با فیلترهای معمولی نیست
۲. بدافزارهای Adaptive
الگوریتمهایی ایجاد شده که پس از اجرای اولیه، ساختار خود را تغییر میدهند تا توسط Signature/Static Analysis شناسایی نشوند.
خطر اصلی:
AI میتواند بدافزار را بر اساس محیط، در لحظه Recompile و Re-Shape کند.
۳. حملات گرافی (Graph-Based Intrusions)
مهاجمان از مدلهای یادگیری گراف برای تحلیل Topology شبکه و یافتن مسیر سریع برای نفوذ استفاده میکنند.
۴. تهدیدات داخلی (Insider AI)
کارمند ناراضی → مدل هوش مصنوعی → تولید تکنیکهای فرار از نظارت → خروج داده بدون دیده شدن.
جمعبندی
AI فرصت بزرگی برای امنیت است، اما برای مهاجم هم دقیقاً همینطور.
در ۲۰۲۵ برتری با تیمهایی است که:
- AI را در Detection ترکیب میکنند
- پلیبوکها را بهروز نگه میدارند
- منابع هوش تهدید مبتنی بر AI دارند
محتوا و دیدگاههای این وبلاگ نمایانگر تعهد رازبان به برتری امنیتی است.