۱. ماجرا از چه قرار بود؟

طبق گزارش رسمی Cloudflare، در سه‌ماهه‌ی سوم ۲۰۲۵ این شرکت بزرگ‌ترین حمله‌ی DDoS ثبت‌شده‌ی تاریخ را دفع کرده است؛ حمله‌ای با پهنای باند ۲۹٫۷ ترابیت بر ثانیه و حدود ۱۴٫۱ میلیارد بسته در ثانیه که توسط بات‌نت Aisuru اجرا شده است.The Cloudflare Blog+1

Cloudflare می‌گوید Aisuru بین ۱ تا ۴ میلیون دستگاه آلوده (روتر خانگی، دوربین، و سایر IoTها) را در اختیار دارد و این حمله به‌صورت کامل و خودکار، بدون دخالت انسانی، روی شبکه‌ی Cloudflare خنثی شده است.The Cloudflare Blog+2eSecurity Planet+2

نکته‌ی مهم: این دیگر یک «حمله بزرگ‌تر از میانگین» نیست؛ حمله‌ای در مقیاس زیرساخت اینترنت است. تا چند سال پیش رکوردها حدود ۱–۲ ترابیت بر ثانیه بود؛ امروز صحبت از نزدیک ۳۰ ترابیت بر ثانیه است.Cloudflare

---

۲. چه چیز این حمله را «رکوردشکن» می‌کند؟

چند ویژگی کلیدی:

1. حجم بی‌سابقه:
   • اوج پهنای باند: ۲۹٫۷ Tbps
   • اوج نرخ بسته: ۱۴٫۱ BppsThe Cloudflare Blog+2eSecurity Planet+2
2. الگوی «فرش‌بمباران» (Carpet Bombing):
   حمله از نوع UDP flood به‌صورت carpet bombing بوده؛ یعنی به جای شلیک به چند پورت مشخص، روی میانگین ~۱۵ هزار پورت مقصد در ثانیه توزیع شده تا سیستم‌های دفاعی را فریب بدهد.The Cloudflare Blog+2protoslabs.io+2
3. حمله‌ی فوق‌کوتاه و فوق‌سنگین:
   این نوع حملات معمولاً فقط چند ده ثانیه طول می‌کشند (در این مورد حدود ۶۰–۷۰ ثانیه گزارش شده) اما چنان حجمی تولید می‌کنند که اگر زیرساخت آماده نباشد، همان چند ثانیه برای خواباندن سرویس کافی است.The Cloudflare Blog+1
4. تکرار رکوردشکنی در یک سال:
   فقط در سال ۲۰۲۵، Cloudflare چند رکورد پشت سر هم ثبت کرده:
   • ۷٫۳ Tbps (حمله‌ی چندبرداری روی یک IP واحد)Tom’s Hardware
   • ۱۱٫۵ Tbps (UDP flood عمدتاً از Google Cloud)The Hacker News+1
   • ۲۲٫۲ Tbps (multi-vector، ۱۰٫۶ میلیارد بسته در ثانیه)Medium+1
   • و نهایتاً ۲۹٫۷ Tbps با AisuruThe Cloudflare Blog+1

Cloudflare می‌گوید تنها در Q3 ۲۰۲۵ ۸٫۳ میلیون حمله DDoS را خنثی کرده و از ابتدای سال تا پایان Q3 به ۳۶٫۲ میلیون حمله رسیده؛ یعنی ۱٫۷ برابر کل سال قبل.The Cloudflare Blog+1

۳. بات‌نت Aisuru دقیقاً چیست؟

۳.۱. تبار و تکامل

• Aisuru یک بات‌نت کلاس TurboMirai / Mirai-born است؛ یعنی روی همان ایده‌ی اولیه‌ی Mirai ولی با کد و ماژول‌های پیشرفته‌تر: ELF مالور برای لینوکس روی روترها و دیوایس‌های IoT.CSO Online+2protoslabs.io+2
• برای فرماندهی و کنترل (C2)، از DNS-based C2 و تکنیک‌های obfuscation استفاده می‌کند تا شناسایی آن سخت‌تر شود.protoslabs.io

۳.۲. اندازه و سطح توزیع

• تخمین Cloudflare: ۱ تا ۴ میلیون میزبان آلوده در سراسر دنیا.The Cloudflare Blog+2Cloudflare+2
• بخش عمده‌ای از نودها، روترهای خانگی و دوربین‌ها و مودم‌های ضعیف‌امنیتی هستند که وصله و به‌روزرسانی درست ندارند.Krebs on Security+2Krebs on Security+2

۳.۳. مدل کسب‌وکار

Aisuru فقط یک «بات‌نت برای سرگرمی» نیست:

• طبق تحلیل‌ها، «botnet-for-hire» است؛ یعنی تکه‌هایی از آن برای اجاره به حمله‌کنندگان مختلف فروخته می‌شود.The Cloudflare Blog+2Ampcus Cyber+2
• در ماه‌های اخیر، علاوه بر DDoS، بخشی از شبکه به‌عنوان «residential proxy» به مجرمان سایبری اجاره داده می‌شود (برای ناشناس‌سازی ترافیک کلاه‌برداری، brute-force، …).Krebs on Security+1

نتیجه: هر کسی که چند صد تا چند هزار دلار بپردازد، می‌تواند از طریق Aisuru ترافیکی در حد چند ترابیت بر ثانیه به سمت هر هدفی که بخواهد شلیک کند.

۴. آناتومی فنی حمله ۲۹٫۷ ترابیتی

۴.۱. لایه و بردار حمله

طبق گزارش Cloudflare و تحلیل‌های مستقل:TechRadar+3The Cloudflare Blog+3eSecurity Planet+3

• لایه‌ی شبکه (L3/L4):
  • UDP flood با تکنیک Carpet Bombing
  • بمباران همزمان هزاران آدرس و پورت روی شبکه‌ی قربانی
• ویژگی ترافیک:
  • نرخ اوجی ۲۹٫۷ Tbps
  • اوج ۱۴٫۱ Bpps
  • تصادفی‌سازی فیلدهای بسته (پورت مقصد، طول payload، فلگ‌ها، …) برای دورزدن signatureهای ساده

Cloudflare در همان گزارش Q3 می‌گوید سهم حملات UDP نسبت به فصل قبل ۲۳۱٪ رشد کرده و UDP به بردار اول حملات شبکه‌ای تبدیل شده است.The Cloudflare Blog

۴.۲. مدت، ریتم و زمان‌بندی

• حمله‌‌های Aisuru معمولاً کمتر از یک دقیقه هستند ولی با شدت بسیار بالا.The Cloudflare Blog+2PC Gamer+2
• در Q3 ۲۰۲۵، Cloudflare گزارش می‌کند ۸۹٪ حملات لایه‌ی شبکه و ۷۱٪ حملات HTTP در کمتر از ۱۰ دقیقه تمام می‌شوند؛ بخش زیادی حتی در چند ثانیه.The Cloudflare Blog
• این سبک «hit-and-run» برای تست دفاع و ایجاد اختلال ناگهانی ایده‌آل است: مدتی که سیستم‌های انسانی تازه متوجه موضوع شوند، حمله تمام شده اما خرابی باقی مانده است.

۴.۳. انتخاب اهداف

Cloudflare در گزارش Q3 می‌گوید Aisuru روی این بخش‌ها تمرکز ویژه داشته است:The Cloudflare Blog+4The Cloudflare Blog+4CSO Online+4

• ارائه‌دهندگان مخابرات و ISPها
• شرکت‌های بازی و پلتفرم‌های گیمینگ (Steam, Riot, PlayStation Network و … – طبق گزارش‌های مستقل)
• ارائه‌دهندگان هاستینگ و زیرساخت ابری
• خدمات مالی و فین‌تک

در بعضی موارد، حتی زمانی که خود ISP هدف مستقیم حمله نبوده، حجم خروجی بات‌نت از شبکه‌ی آنها باعث اختلال جانبی در کاربران آن ISP شده است.

۵. چرا این حمله این‌قدر خطرناک است؟

چند نکته استراتژیک که برای مقاله‌ی تحلیلی مهم‌اند:

1. شکستن سقف ۲۰–۳۰ Tbps:
   رسیدن به ~۳۰ Tbps نشان می‌دهد که ظرفیت بات‌نت‌های IoT امروز در حدی است که می‌تواند خطوط ستون فقرات اینترنت (backbone) را اشباع کند، نه فقط دیتاسنتر یک شرکت.
2. تهدید برای زیرساخت حیاتی و دولت‌ها:
   Cloudflare هشدار می‌دهد اگر ترافیک Aisuru در حالتی که فقط «ناخواسته» از شبکه‌ی ISPs عبور می‌کند می‌تواند بخش‌هایی از اینترنت آمریکا را دچار اختلال کند، حمله‌ی مستقیم به:
   • زیرساخت حیاتی (برق، گاز، حمل‌ونقل)
   • سلامت (بیمارستان‌ها و EMS)
   • سرویس‌های دولتی و نظامی
   می‌تواند به یک بحران ملی تبدیل شود.The Cloudflare Blog+2NETSCOUT+2
3. دسترسی ارزان به حمله در این مقیاس:
   مدل botnet-for-hire باعث می‌شود این سطح از قدرت، فقط در اختیار دولت‌ها یا APTهای بزرگ نباشد؛ یک گروه با بودجه‌ی متوسط هم می‌تواند چنین ظرفیتی را اجاره کند.The Cloudflare Blog+2Ampcus Cyber+2
4. سرعت رشد:
   گزارش‌ها نشان می‌دهد طی کمتر از یک سال، رکورد حملات از حدود ۳٫۸ Tbps (۲۰۲۴) به ۵٫۶، ۷٫۳، ۱۱٫۵، ۲۲٫۲ و نهایتاً ۲۹٫۷ Tbps رسیده است؛ نرخ رشدی که از توان بسیاری از سازمان‌ها برای ارتقای دفاع پیشی می‌گیرد.TechRadar+4The Cloudflare Blog+4The Cloudflare Blog+4

---

۶. Cloudflare چطور این حمله را دفع کرد؟ (فنی و نسبتاً عمیق)

Cloudflare جزئیات دقیق پیاده‌سازی را کامل منتشر نمی‌کند، اما با کنار هم گذاشتن مستندات فنی قبلی و گزارش Q3 می‌توان تصویر خوبی ساخت:Cloudflare+4The Cloudflare Blog+4The Cloudflare Blog+4

۶.۱. معماری شبکه و ظرفیت

• Cloudflare اعلام می‌کند ظرفیت شبکه‌ جهانی‌اش حدود ۴۴۹ Tbps است؛ یعنی تئوریکاً می‌تواند چندین حمله در سطح ده‌ها Tbps را همزمان جذب کند.Cloudflare
• ترافیک به‌کمک Anycast روی صدها PoP در جهان پخش می‌شود؛ در نتیجه حتی اگر یک منطقه تحت فشار شدید باشد، بقیه‌ی نقاط بخشی از ترافیک را جذب می‌کنند.

۶.۲. تشخیص خودکار و real-time

• Cloudflare سال‌هاست روی «autonomous edge DDoS protection» کار می‌کند: سیستم‌های توزیع‌شده‌ای که روی هر نود شبکه، بی‌درنگ الگوهای ترافیک را بررسی و تصمیم‌گیری می‌کنند.The Cloudflare Blog+1
• الگوریتم‌ها با Thresholdهای پویا، آمار baseline و مدل‌های anomaly detection (روی نرخ، Entropy آدرس‌ها/پورت‌ها، توزیع پروتکل‌ها و …) تصمیم می‌گیرند که کدام ترافیک باید drop، rate-limit یا چالش شود.

۶.۳. تکنیک‌های خنثی‌سازی در این حمله

بر اساس توضیحات Cloudflare درباره‌ی حملات hyper-volumetric (شامل همین رخداد):protoslabs.io+4The Cloudflare Blog+4The Cloudflare Blog+4

• فیلتر و Rate-Limit در لبه شبکه (edge):
  • اعمال فیلتر روی UDP برای محدوده‌های پورت/پروتکل مشخص
  • جمع‌کردن (aggregation) ترافیک مشکوک، و rate-limit روی جریان‌های مشکوک بدون آسیب زدن به ترافیک سالم
• Carpet-Bomb Mitigation:
  چون حمله روی هزاران پورت پخش شده، سیستم به‌جای نگاه به پورت، روی الگوی حجم و توزیع آدرس تمرکز می‌کند؛ مثلاً:
  • جهش آنی ترافیک از صدها هزار IP جدید از کشورهای شناخته‌شده‌ی منبع DDoS
  • correlation با IPهایی که در حملات قبلی بات‌نت‌های Mirai-like دیده شده‌اند
• Drop کردن در نزدیک‌ترین نقطه:
  کل ایده این است که تا حد ممکن قبل از رسیدن ترافیک به هسته‌ی شبکه یا دیتاسنتر مشتری، همان در PoPهای مرزی drop شود.
• عدم نیاز به مداخله‌ی انسانی:
  Cloudflare صراحتاً می‌گوید هم حمله‌ی ۳٫۸ Tbps (۲۰۲۴) و هم رکوردهای ۷٫۳، ۱۱٫۵، ۲۲٫۲ و ۲۹٫۷ Tbps، به‌طور ۱۰۰٪ خودکار تشخیص و Mitigate شده‌اند.TechRadar+4The Cloudflare Blog+4The Cloudflare Blog+4

---

۷. ریشه‌ها و انگیزه‌ها؛ چه کسی و چرا؟

در مورد حمله‌ی خاص ۲۹٫۷ Tbps:

• Cloudflare و اکثر گزارش‌ها هدف نهایی و هویت عاملان را علناً اعلام نکرده‌اند.TechRadar+3The Cloudflare Blog+3eSecurity Planet+3
• اما در همان گزارش Q3 و تحلیل‌های مستقل چند الگوی روشن دیده می‌شود:TechRadar+4The Cloudflare Blog+4CSO Online+4
  • تمرکز روی صنایع پول‌ساز آنلاین: گیمینگ، فین‌تک، مخابرات، هاستینگ.
  • پیوند با تنش‌های ژئوپلیتیک: افزایش شدید DDoS روی صنایع معدن و خودرو همزمان با تنش‌های تجاری اتحادیه اروپا–چین، و موج حملات همزمان با اعتراضات سیاسی (مثلاً در فرانسه و مالدیو).
  • بازار کرایه DDoS: Aisuru عملاً زیرساختی است برای هر کسی که می‌خواهد با کمترین ریسک، بیشترین ضربه را بزند.

با توجه به این شواهد، می‌توان گفت:

• Aisuru احتمالاً ترکیبی از بازیگران جنایی (برای اخاذی/حمله به گیمینگ و فین‌تک) و actorهای نزدیک به دولت‌ها یا گروه‌های سیاسی را سرویس می‌دهد.
• اما هنوز یک انتساب قطعی و رسمی به دولت یا گروه خاص منتشر نشده و هر ادعای قطعی فراتر از این داده‌ها، حدس و گمان است.

سرویس جدید «میزبانی امن مدیریت‌شده» رازبان، بر پایه معماری امنیت‌محور و نظارت دائمی طراحی شده است؛ مناسب سازمان‌هایی که به زیرساخت پایدار، امن و پشتیبانی تخصصی نیاز دارند.

در سال‌های اخیر، حملات سایبری مرتبط با سرورهای میزبانی‌شده، خطری مداوم برای شرکت‌ها و کسب‌وکارها بوده است. بسیاری از این رخدادها ناشی از پیکربندی نادرست، نظارت ناکافی، به‌روزرسانی‌های نامنظم و نبود لایه‌های امنیتی استاندارد است.
رازبان به‌عنوان یک تیم تخصصی در حوزه امنیت و زیرساخت، با هدف رفع این نیاز حیاتی، سرویس جدید Managed Secure Hosting را ارائه می‌دهد—سرویسی که فراتر از «هاستینگ معمولی» است.

---

Managed Secure Hosting چیست؟

میزبانی امن مدیریت‌شده، ترکیبی از زیرساخت سخت‌افزاری پایدار و پشتیبانی امنیتی فعال است.
در این سرویس، سرور شما فقط میزبانی نمی‌شود؛ بلکه به‌صورت کامل مدیریت، ایمن‌سازی و پایش‌شده تحویل داده می‌شود.

---

ویژگی‌های کلیدی سرویس

۱. ایمن‌سازی چندلایه (Multi-Layer Hardening)

• پیکربندی امن وب‌سرور (Apache/Nginx)
• فعال‌سازی WAF اختصاصی
• محدودسازی سطح حمله (Attack Surface Reduction)
• فایروال نرم‌افزاری و سیاست‌های امنیتی مبتنی بر نیاز هر سرویس

۲. پایش و نظارت مداوم

• کنترل لحظه‌ای وضعیت سرویس‌ها
• تشخیص رفتارهای غیرعادی و حملات بالقوه
• گزارش‌های دوره‌ای وضعیت سرور و امنیت

۳. مدیریت کامل به‌روزرسانی‌ها

• آپدیت سیستم‌عامل و پکیج‌ها
• وصله‌های امنیتی (Security Patches)
• بررسی سازگاری تغییرات قبل از اعمال

۴. بکاپ‌های منظم و قابل بازیابی

• نسخه‌برداری دوره‌ای
• ذخیره امن در سرورهای جداگانه
• امکان بازگردانی سریع

۵. پشتیبانی فنی و امنیتی تخصصی

تیم تخصصی رازبان مسئولیت کامل مدیریت زیرساخت را بر عهده دارد—از رفع خطا و مدیریت سرویس تا بهینه‌سازی امنیتی و عملکرد.

۶. محیط پایدار برای وب‌سایت‌ها و سرویس‌های حساس

این سرویس برای وب‌سایت‌ها، APIها، پنل‌ها و اپلیکیشن‌هایی طراحی شده که نیاز به در دسترس‌بودن بالا (High Availability) و امنیت مستمر دارند.

---

مناسب چه سازمان‌هایی است؟

• مجموعه‌هایی که سرویس‌های مهم تجاری روی سرور دارند
• کسب‌وکارهایی که تیم IT امنیتی داخلی ندارند
• سازمان‌هایی که به‌دنبال زیرساخت پایدار و مدیریت‌شده هستند
• شرکت‌هایی که حملات مکرر یا Downtime تجربه کرده‌اند

---

جمع‌بندی

«Managed Secure Hosting» تنها یک سرویس میزبانی نیست؛ بخشی از زیرساخت امنیتی سازمان شماست.
رازبان با تجربه عملی در زیرساخت، مانیتورینگ و امنیت، این سرویس را طراحی کرده تا شما بدون نگرانی از پیچیدگی‌های فنی، روی رشد کسب‌وکارتان تمرکز کنید.

حملات زنجیره تأمین یکی از سریع‌ترین روش‌های نفوذ به سازمان‌ها شده‌اند. این راهنما مراحل عملی و واقعی برای کاهش ریسک را نشان می‌دهد.

مقدمه

در حملات Supply Chain، مهاجم به‌جای هک‌کردن مستقیم شما، از طریق سرویس‌ها، فروشندگان یا نرم‌افزارهایی وارد می‌شود که شما به آنها اعتماد دارید.

این مدل حمله در سال ۲۰۲۵ شدیدتر شده است.

---

۱. ارزیابی امنیتی فروشندگان (Vendor Security Score)

اکثر شرکت‌ها بدون بررسی امنیتی Vendor، اطلاعات حساس را در اختیار آن‌ها قرار می‌دهند.

اقدامات فوری:

• بررسی SOC2، ISO 27001 یا حداقل پرسشنامه امنیتی
• الزام MFA
• بررسی لاگ‌های Vendor Access

---

۲. کنترل نسخه و Integrity نرم‌افزار

Package Managerها هدف اصلی حملات هستند.
برای زبان‌های Python / Node / Go:

چک کن:

• hash / checksum پکیج‌ها
• قفل نسخه (package-lock.json, go.sum)
• اسکن آسیب‌پذیری قبل از Build

---

۳. جداسازی محیط‌ها

کد و سرویس‌های بیرونی نباید با دسترسی Root یا داخل شبکه داخلی اجرا شوند.

راهکار:

• Containerization
• شبکه جدا (segmentation)
• دسترسی حداقلی (Least Privilege)

---

۴. نظارت بر رفتار Vendor

هر Vendor باید در SIEM لاگ داشته باشد.
بدترین اشتباه: «اعتماد کامل» بدون Logging.

---

جمع‌بندی

حملات Supply Chain پیچیده هستند، اما جلوگیری از آن‌ها نیاز به تکنولوژی خارق‌العاده ندارد.
با سه چیز می‌توان بخش عمده ریسک را کاهش داد:

• بررسی Vendor
• کنترل Integrity
• جداسازی شبکه و سرویس‌ها

با رشد مدل‌های هوش مصنوعی، تهدیدات ناشی از سوءاستفاده مهاجمان هوشمند وارد مرحله جدیدی شده است.

مقدمه

هوش مصنوعی دیگر یک ابزار صرف نیست؛ مهاجمان سایبری از مدل‌های مولد و تحلیلی برای ساخت بدافزار، حملات فیشینگ هدفمند و بای‌پس‌کردن دفاع‌های کلاسیک استفاده می‌کنند.

---

۱. حملات مولد (Generative Attacks)

مهاجمان با استفاده از مدل‌های زبانی، حملات فیشینگ و Social Engineering را طوری تولید می‌کنند که:

• با رفتار فرد هدف هم‌خوانی دارد
• ساختار زبانی شخصی دارد
• قابل شناسایی با فیلترهای معمولی نیست

---

۲. بدافزارهای Adaptive

الگوریتم‌هایی ایجاد شده که پس از اجرای اولیه، ساختار خود را تغییر می‌دهند تا توسط Signature/Static Analysis شناسایی نشوند.

خطر اصلی:
AI می‌تواند بدافزار را بر اساس محیط، در لحظه Recompile و Re-Shape کند.

---

۳. حملات گرافی (Graph-Based Intrusions)

مهاجمان از مدل‌های یادگیری گراف برای تحلیل Topology شبکه و یافتن مسیر سریع برای نفوذ استفاده می‌کنند.

---

۴. تهدیدات داخلی (Insider AI)

کارمند ناراضی → مدل هوش مصنوعی → تولید تکنیک‌های فرار از نظارت → خروج داده بدون دیده شدن.

---

جمع‌بندی

AI فرصت بزرگی برای امنیت است، اما برای مهاجم هم دقیقاً همین‌طور.
در ۲۰۲۵ برتری با تیم‌هایی است که:

• AI را در Detection ترکیب می‌کنند
• پلی‌بوک‌ها را به‌روز نگه می‌دارند
• منابع هوش تهدید مبتنی بر AI دارند