ورود
مقالات فارسیISIکنفرانسهاژورنالها

حمزه بجنوردی

6 یادداشت منتشر شده

نقش رمزنگاری در عملیات نفوذ سایبری: مطالعه ای بر دور زدن DPI در مناقشات ایران و اسرائیل

15 مهر 1404 - خواندن 5 دقیقه - 34385 بازدید
نقش رمزنگاری در عملیات نفوذ سایبری:
مطالعه ای بر دور زدن DPI در مناقشات ایران و اسرائیل


چکیده


مناقشات سایبری ایران و اسرائیل به عنوان یکی از پیشرفته ترین جبهه های درگیری های دیجیتال در جهان، دائما در حال تکامل است. در این بستر، توانایی پنهان سازی ترافیک نفوذی از دید سامانه های دفاعی مانند بازرسی بسته ی عمیق (DPI) و دیوار آتش ها (Firewalls)، کلید موفقیت عملیات های نفوذ سایبری است. این یادداشت علمی به بررسی فنی تکنیک های رمزنگاری پیشرفته می پردازد که توسط بازیگران سایبری برای ایجاد تونل های رمزی غیرقابل شناسایی و دور زدن مکانیزم های دفاعی شبکه به کار می روند. تمرکز بر پروتکل های جدید و روش هایی است که با هدف ابهام سازی مبدا و محتوای حملات، چالش های جدی برای انتساب (Attribution) و دفاع سایبری ایجاد می کنند.


مقدمه


سامانه های دفاعی شبکه، به ویژه در زیرساخت های حیاتی (Critical Infrastructure)، به شدت به فناوری DPI متکی هستند تا بتوانند ترافیک مخرب را بر اساس الگوهای مشخص، کلمات کلیدی، و امضای پروتکل شناسایی و مسدود کنند. با این حال، پیشرفت ها در رمزنگاری و استتار ترافیک، به مهاجمان سایبری این امکان را می دهد که این لایه های دفاعی را با کارایی بالا دور بزنند. در این نبرد دائم، بازیگران سایبری وابسته به ایران و اسرائیل، همواره در حال به روزرسانی متدهای نفوذ و مخفی کاری خود هستند.


تکنیک های پیشرفته رمزنگاری برای دور زدن DPI


رمزنگاری، که ابزار اساسی امنیت است، در اینجا به ابزاری برای نفوذ تبدیل می شود. این تکنیک ها بر پنهان کردن ویژگی های ترافیک (Metadata) و محتوای آن متمرکز هستند:


۱. رمزنگاری نام سرور (SNI) با ESNI و ECH

پروتکل امنیتی TLS/SSL، تا قبل از به روزرسانی های جدید، نام سرور مقصد (Server Name Indication - SNI) را به صورت متن ساده (Plaintext) ارسال می کرد. این یک نقطه ضعف حیاتی برای DPI محسوب می شد؛ زیرا DPI می توانست بر اساس SNI، حتی ترافیک رمزنگاری شده را فیلتر کند.

  • ESNI (Encrypted SNI): این تکنیک گامی در جهت رمزنگاری بخش SNI بود.
  • ECH (Encrypted Client Hello): این پروتکل جدیدتر، کل پیام Client Hello در مرحله دست دهی TLS را رمزنگاری می کند.
    واقعیت فنی: با پیاده سازی موفق ECH توسط مهاجمان برای تونل سازی فرماندهی و کنترل (C2)، فایروال هایی که برای مسدودسازی بر اساس SNI فعالیت می کنند، عملا کور می شوند، زیرا آدرس دامنه مقصد از دید DPI پنهان می ماند.

۲. استتار ترافیک با Domain Fronting و پروتکل های جایگزین

مهاجمان از روش هایی استفاده می کنند تا ترافیک مخرب خود را به گونه ای نمایش دهند که شبیه ترافیک سرویس های ابری بزرگ و قانونی به نظر برسد.

  • Domain Fronting (منسوخ شده اما همچنان موثر): این روش شامل استفاده از یک دامنه قانونی در لایه TLS (برای دور زدن DPI) در حالی است که آدرس واقعی سرور C2 در لایه HTTP پنهان شده است.
  • استفاده از پروتکل های رمزنگاری شده غیرمتداول: به جای استفاده مستقیم از پروتکل های شناخته شده VPN (مانند OpenVPN یا WireGuard که امضاهای نسبتا مشخصی دارند)، از پروتکل های لایه کاربردی مانند DNS over HTTPS (DoH) یا HTTP/2 برای انتقال ترافیک C2 استفاده می شود. این روش، تشخیص ترافیک C2 را در میان انبوهی از ترافیک وب قانونی بسیار دشوار می کند.

۳. تونل سازی در کانال های با تاخیر بالا (High-Latency Tunnels)

مهاجمان می توانند از کانال هایی که به طور معمول برای انتقال داده استفاده نمی شوند (مثل پروتکل های ICMP، DNS یا حتی بسته های TCP که به نظر می رسد بخشی از یک ارتباط قطع شده هستند) برای ایجاد یک تونل بسیار کند اما نامحسوس استفاده کنند.

  • واقعیت فنی: این تونل های رمزی، برای نفوذ اولیه و خروج اطلاعات حساس در مقیاس کم (مانند داده های اعتباری یا نقشه های شبکه) بسیار موثرند و معمولا توسط سامانه های DPI که بر روی بررسی پهنای باند زیاد و جریان های متداول تمرکز دارند، نادیده گرفته می شوند.


چالش های دفاع و نتیجه گیری


توسعه این تکنیک های رمزنگاری پیشرفته، چالش های جدی برای تیم های دفاعی در هر دو کشور ایجاد کرده است:

  1. افزایش هزینه ی DPI: با رمزنگاری بیشتر لایه های ترافیک (مانند ECH)، سازمان های دفاعی برای بررسی محتوا باید ترافیک را در سطح بالاتری رمزگشایی کنند، که به سخت افزار بسیار قدرتمند (و پرهزینه تر) نیاز دارد.
  2. مشکل انتساب: هر چه ترافیک نفوذ بهتر پنهان شود، عمل انتساب (Attribution)—یعنی نسبت دادن حمله به یک بازیگر دولتی خاص—پیچیده تر می شود و این امر به مهاجمان آزادی عمل بیشتری می دهد.
  3. نبرد پیوسته رمزگشایی: تیم های دفاعی باید دائما در حال به روزرسانی الگوریتم ها و امضاهای DPI خود باشند تا بتوانند الگوهای جدید رمزنگاری و استتار ترافیک را شناسایی کنند.

در نهایت، نبرد سایبری ایران و اسرائیل نشان دهنده ی یک رقابت دائمی است که در آن، مهارت استفاده از رمزنگاری برای پنهان سازی نفوذ، نقشی حیاتی و تعیین کننده در برتری عملیاتی دارد. تمرکز بر پروتکل های امنیتی پیشرفته (مانند ECH) نه تنها در حوزه امنیت، بلکه در حوزه نفوذ نیز، به عنوان یک عامل کلیدی در حال ظهور است. ( حمزه بجنوردی )

جنگ سایبری
یادداشت قبلی

جنگ سایبری پساجنگ: دگرگونی دکترین امنیت ملی ایران و اسرائیل