6.18 伊朗网络事件分析
-
整个主干网路由表中,由伊朗运营商发出的路由前缀数量始终保持稳定,未发生显著变化,这表明网络底层的路由架构未遭受根本性破坏;事实上,伊朗运营商仍然在持续对外发起路由广播,维持自身在网络空间内的存在。
-
在奇安信 XLab malware&payload 平台上,持续有来自伊朗方向的流量接入。 -
在奇安信 XLab 基础数据平台如DNS平台,也一直存在来自伊朗方向的流量交互。
-
6月17日22时,网络数据流量和DNS流量均出现明显下降。 -
6月18日21时,网络数据流量断崖式下滑,但DNS流量在短暂下跌之后呈现出明显上升趋势。 -
DNS流量两次差异的原因可能在于对DNS服务封堵策略的不同所导致的。 -
1、第一次封堵是针对某些DNS服务器,比如特定区域/特定运营商的DNS服务。 -
2、第二次封堵DNS服务器的范围更广,因此大量的客户端通过DNS请求在不断尝试连接,甚至连接频次还会加剧,这就会导致网络流量减少的情况下DNS请求量上升。这与大型互联网应用被封禁或者不能提供服务时的表现一致。这种情况在以往重大网站失能时多次出现。
-
对请求来源进行进一步的细化分析,我们发现伊朗的TCI以及Mobinnet等运营商的请求数据波动在第一阶段请求较小,第二阶段请求量显著上升。与之相对应的MCCI和Irancell在两个阶段的请求量都有显著的变化。我们推测是不同的运营商有不同的策略导致的。考虑到MCCI和Irancell的业务范围,移动运营商受影响更大。这与上面提到的封堵策略不同的特点是一致的。
关于奇安信XLab实验室
奇安信XLab实验室专注于大规模数据环境下的网络态势感知、威胁分析溯源及安全数据平台建设。实验室拥有业内领先的超大规模多维安全基础数据平台和恶意样本及载荷捕获分析平台,覆盖PassiveDNS、僵尸网络跟踪、高级蜜罐系统等关键技术模块。
XLab实验室不仅为内部安全产品及业务提供海量数据支持,还持续进行威胁分析与情报产出,不断披露重大安全威胁,赢得了业内高度认可。此外,实验室还积极参与国家级科研项目,并与国际组织合作,致力于为全球客户提供高质量的安全服务与技术支持。
原文始发于微信公众号(奇安信集团):奇安信独家披露伊朗断网真相:没断网,有封堵
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论