وضعيت اينترنت ايران در روزهاي جنگي

هفته گذشته اينترنت در ايران يكي از بحراني‌ترين دوره‌هاي خود را سپري كرد. با آغاز تجاوز اسراييل به خاك ايران، اينترنت كشور وارد چرخه‌اي از تغييرات پرشتاب شد كه در ابتدا با افزايش ترافيك همراه بود سپس با محدوديت‌هاي تدريجي و قطع كامل دسترسي ادامه پيدا كرد و در نهايت از ۳۱ خرداد شاهد بازگشت كنترل‌شده و محدود اتصال به شبكه جهاني هستيم. داده‌هاي منتشرشده از Cloudflare Radar نشان مي‌دهد كه اين فرآيند نه‌تنها در سطح كاربري، بلكه در سطح زيرساخت و پروتكل‌هاي پايه شبكه نيز موثر بوده است. پيوست آنچه طي ۱۰ روز جنگ بر اينترنت ايران گذشته را مرور كرده است. اولين مرحله تجاوز اسراييل بامداد روز جمعه بيست و سوم خرداد انجام شد. تا پيش از اين تاريخ اينترنت ايران از وضعيت نسبتا پايداري برخوردار بود. ترافيك كلي و ترافيك HTTP روندي منظم و روزانه داشت. الگوي استفاده از داده‌ها در شب و روز مشخص بود، ترافيك با آغاز صبح افزايش مي‌يافت، در طول روز به اوج مي‌رسيد و در ساعات نيمه‌شب با كاهش همراه مي‌شد. نسبت بين پروتكل‌هاي مختلف HTTP نيز در اين دوره پايدار بود. بيشترين سهم متعلق به HTTP/2 بود كه نشان‌دهنده استفاده گسترده از خدمات رايج در سرويس‌هاي تحت وب است. همچنين HTTP/3 نيز كه بر پايه پروتكل QUIC عمل مي‌كند و سرعت و امنيت بالاتري دارد، سهم قابل توجهي از ترافيك داشت. اين وضعيت به‌وضوح حاكي از وجود شبكه‌اي نسبتا همگام  با   استانداردهاي جهاني  است.

اختلال نرم و محدوديت‌هاي پنهان

از روز شنبه ۲۴ خرداد، همزمان با اوج گرفتن بحران نظامي و آغاز رسمي جنگ، الگوي ترافيك در نمودارها دچار تغييرات قابل توجهي شد. برخلاف انتظار كه شايد مصرف به دليل بحران كاهش يابد، ترافيك درخواست‌هاي HTTP در ابتدا افزايش يافت. كاربران در تلاش براي دسترسي به اطلاعات، اخبار، شبكه‌هاي اجتماعي و ابزارهاي ارتباطي بودند. با اين حال، حجم كل داده‌هاي منتقل‌شده كاهش پيدا كرد. اين تناقض نشان مي‌دهد كه محدوديت‌هاي فني در حال اعمال بوده‌اند. عدم تطابق بين پيك درخواست‌ها و افت داده نشان‌دهنده عمدي بودن محدوديت در سطح transport يا application layer است. به بيان ديگر، اگرچه كاربران بيشتر جست‌وجو مي‌كردند، اما حجم داده‌اي كه دريافت يا ارسال مي‌كردند كمتر از حد انتظار بوده است. به دليل محدوديت اعمال‌شده روي اينترنت، برخلاف هفته پيش از جنگ حجم درخواست‌ها افزايش پيدا كرده كه نشان مي‌دهد تعداد زيادي از درخواست‌ها بدون پاسخ و مكرر بوده‌اند. از ديدگاه فني، اين وضعيت مي‌تواند به پديده‌اي به نام « throttling » نسبت داده شود؛ يعني كاهش عمدي پهناي باند يا سرعت اتصال به برخي خدمات خاص كه با اهداف مختلفي انجام مي‌شود. اين روش باعث مي‌شود كارايي و كيفيت اينترنت به‌شدت افت كند. براي محدودسازي خروجي ترافيك در اين شرايط بسيار محتمل است. به‌علاوه، سهم پروتكل HTTP/3 نيز به‌طور ناگهاني كاهش يافت. پروتكل HTTP/3 كه از طريق QUIC و بر پايه UDP ارتباط برقرار مي‌كند، به دليل رمزنگاري كامل، سرعت بالا، و دشواري در پايش، معمولا در چنين شرايطي حذف يا مسدود مي‌شود تا نظارت بر ترافيك با سرعت بيشتري انجام شود.

 قطع اينترنت و محدود شدن  به شبكه ملي

چهارشنبه هفته گذشته (۲۸ خرداد ۱۴۰۴) نقطه عطف وضعيت اينترنت در ايران است. در اين روز حجم ترافيك كلي، ترافيك HTTP و تعداد درخواست‌ها به‌طور ناگهاني به نزديك صفر مي‌رسد. نمودار Cloudflare به‌صراحت قطع ارتباط اينترنت بين‌المللي را تأييد مي‌كند. اين وضعيت براي حدود سه روز ادامه داشت. وزارت ارتباط نيز در اطلاعيه‌اي قطع ارتباط بين‌الملل براي جلوگيري از حملات سايبري را اعلام كرد. داده‌هاي نت‌بلاكس نيز كه مبناي گزارش CNN بوده است نشان مي‌دهد كمتر از ۳ درصد از كاربران ايران به اينترنت دسترسي داشته‌اند. در زمان قطع اينترنت، كاربران به خدمات داخلي مانند بانك‌ها، برخي سايت‌هاي خبري داخلي، پلتفرم‌هاي بومي و پيام‌رسان‌هاي داخلي با ميزباني شبكه ملي دسترسي داشتند، اما هيچ‌گونه ترافيكي از ايران به خارج از كشور منتقل نمي‌شود. در اين حالت، تنها كاربران خارجي مقيم ايران يا سازمان‌هاي خاص با زيرساخت اختصاصي ممكن است دسترسي محدودي به بيرون داشته باشند. اما در كنار اين تعداد، احتمالا تعدادي از كاربران نيز به واسطه اينترنت ماهواره‌اي استارلينك ارتباط خود را با اينترنت بين‌الملل حفظ كردند. داده‌هاي رادار آروان‌كلاود نشان مي‌دهد قطع اينترنت از حدود  ساعت ۱۶: ۲۰ دقيقه چهارشنبه ۲۸ خرداد آغاز شد.

بازگشت محدود و كنترل‌شده اينترنت

صبح شنبه ۳۱ خرداد، پس از چند روز خاموشي مطلق، نمودار ترافيك دوباره رو به افزايش گذاشت. در اين مرحله در كمتر از چند دقيقه ترافيك به‌شدت افزايش مي‌يابد و به حجم پيش از خاموشي مي‌رسد. بازگشت اينترنت نه به‌صورت كامل و ناگهاني، بلكه در قالب طرحي مرحله‌اي و احتمالا با هدف نظارت دقيق‌تر انجام شد. از نظر فني، ممكن است ابتدا دسترسي برخي اپراتورهاي ثابت يا مناطق كم‌ريسك‌تر آزاد شده باشد. نمودار رادار كلاودفلر نشان مي‌دهد ظهر روز شنبه ۳۱ خرداد ماه مجددا محدوديت‌هايي روي ترافيك اينترنت ايران اعمال شده است و پهناي باندي كه به يك سوم روزهاي عادي كاهش پيدا كرده بود باز هم با افت مواجه شده و به نصف رسيده است. احتمال دارد اپراتورها TLS handshaking در برخي پورت‌ها يا مسيرها را كنترل كرده باشند. 

پاينترنت در شرايط جنگي

بررسي روند اينترنت ايران در اين بازه بحراني نشان مي‌دهد كه مديريت اتصال به شبكه جهاني به‌شدت تحت تاثير جنگ و شرايط امنيتي بوده است. روندي كه از ثبات آغاز شد، با اختلال‌هاي تدريجي وارد فاز محدودسازي شديد شد، سپس به قطع كامل منتهي گشت و در نهايت با بازگشتي محدود و محافظه‌كارانه ادامه يافت. قطع اينترنت در زمان جنگ نه‌تنها اقدامي امنيتي-سياسي، بلكه تصميمي فني براي حفظ انسجام زيرساخت، كاهش سطح حمله، جلوگيري از افشاي اطلاعات حساس، كنترل بار شبكه و تمركز بر مديريت منابع محدود است. با اين حال، اين اقدام هزينه‌هاي اجتماعي، اقتصادي و حقوق بشري بالايي دارد و بايد با درك دقيق از زيرساخت شبكه، طراحي مناسب فازبندي بازگشت، و آمادگي براي حفظ ارتباطات حياتي انجام شود. در شرايط جنگي، يكي از اصلي‌ترين دلايل فني قطع اينترنت، حفاظت از زيرساخت‌هاي حياتي مانند شبكه‌هاي برق، حمل‌ونقل و مراكز داده است. با جدا كردن اين سامانه‌ها از اينترنت عمومي، امكان دسترسي از راه دور براي مهاجمان كاهش مي‌يابد، سطح حمله محدود مي‌شود و حملاتي مانند DDoS هدايت شده از خارج از كشور ناكارآمد مي‌شوند. از ديگر اهداف مهم اين اقدام، حفظ امنيت عملياتي و جلوگيري از افشاي اطلاعات موقعيتي است. در بحران‌ها، اپليكيشن‌هاي موبايلي، پيام‌رسان‌ها و شبكه‌هاي اجتماعي مي‌توانند به‌طور ناخواسته داده‌هاي حساس درباره جابه‌جايي نيروها يا زيرساخت‌ها را منتشر كنند. قطع يا محدودسازي اينترنت امكان رهگيري اين اطلاعات از سوي دشمن از طريق منابع عمومي (OSINT) را كاهش داده و از حملات مبتني بر مهندسي اجتماعي جلوگيري مي‌كند. در كنار آن، قطع اينترنت مي‌تواند نقش موثري در اختلال در فرماندهي و كنترل نيروهاي دشمن (C2 Disruption) داشته باشد. در بسياري از جنگ‌هاي مدرن، ارتباطات نيروهاي نيابتي يا نفوذي از طريق بسترهاي رمزنگاري‌شده عمومي انجام مي‌شود. قطع اينترنت باعث از كار افتادن اين كانال‌ها مي‌شود. در سطح داخلي، اين اقدام به تثبيت و تمركز دفاع سايبري كمك مي‌كند. سامانه‌هاي تشخيص نفوذ IDS/IPS، فايروال‌هاي ملي و مراكز دفاع ديجيتال مي‌توانند با كاهش ترافيك خارجي بهتر و دقيق‌تر فعاليت كنند. همچنين با هدايت كاربران به شبكه ملي، امكان نظارت مركزي، فيلترينگ لحظه‌اي و حفظ پهناي باند براي اهداف حساس فراهم مي‌شود. در نهايت، كنترل بار شبكه و مقابله با ابزارهاي عبور از فيلترينگ از ديگر ملاحظات فني است. افزايش مصرف در بحران، همراه با رشد استفاده از VPNها، موجب فشار شديد بر شبكه مي‌شود. ابزارهاي نويني كه از رمزنگاري‌هاي پيچيده استفاده مي‌كنند، ممكن است از فيلترينگ عبور كنند. قطع كامل اينترنت راهي براي جلوگيري از بروز حملات زنجيره‌اي (Cascade Failures) و حفظ ثبات عملكرد داخلي شبكه در شرايط بحراني است.