اينترنت مستضعف ايران، خاموش‌تر از هميشه

 به‌گزارش پيوست، داده‌هاي دريافتي از سه شبكه اصلي كشور (همراه اول، ايرانسل و شركت زيرساخت) كاهش هماهنگ ترافيك را در همان بازه زماني نشان مي‌دهند. به اين معني كه برخلاف سال‌هاي گذشته قطع اينترنت از سطح اپراتورها و تامين‌كنندگان خارج شده و اكنون به صورت متمركز در سراسر كشور اعمال مي‌شود. داده‌هاي ترافيك اينترنت شركت Kentik، در تحليل خود به دو نوبت افت ترافيك در روز شنبه اشاره كرده است. ترافيك دو تامين‌كننده بزرگ اينترنت كشور در همان صبح روز شنبه در كمتر از يك ساعت به كمتر از يك درصد مي‌رسد اما سومين تامين‌كننده اينترنت كشور يعني شركت ارتباطات زيرساخت تا چند ساعت بعد احتمالا تا حدود ساعت ۱۹ همچنان به اينترنت دسترسي داشت. داده‌هاي IODA نيز كاهش گسترده در سطح اتصال را تأييد مي‌كند. اين داده‌ها نشان مي‌دهد كه تغييراتي در سطح مسيريابي BGP رخ داده كه بر دسترسي به شبكه‌هاي بين‌المللي تأثير گذاشته است. اين تغييرات منجر به محدوديت در مسيريابي بسته‌هاي داده به مقاصد بين‌المللي شده است. 

  پهناي باند و DNS

در بررسي شاخص پهناي باند، داده‌ها تغيير قابل توجهي را نشان مي‌دهند. ميانگين سرعت اينترنت كه پيش از  این در محدوده 6.1 مگابيت بر ثانيه نوسان داشت، پس از اين تاريخ با نوسانات و كاهش مواجه شده است. اين نوسانات عمدتاً مربوط به تلاش‌هاي سيستم براي برقراري ارتباط در شرايط محدوديت است. از منظر فني، محدوديت پهناي باند در سطوح پايين (زير يك مگابيت بر ثانيه) عملاً امكان استفاده از بسياري از سرويس‌هاي مبتني بر وب را با دشواري مواجه مي‌كند. داده‌ها نشان مي‌دهند قبل از روز شنبه كه وارد خاموشي شديم اينترنت ايران يكي از كندترين اينترنت‌ها در دنيا بوده به‌طوريكه حدود يك‌چهارم از كاربران اينترنت كشور با سرعت ميانه ۵۰۰ كيلوبايت بر ثانيه به اينترنت وصل بوده‌اند. اگر تعداد كاربران فعال را حدود ۷۰ ميليون نفر در نظر بگيريم يعني حدود ۱۷ ميليون نفر با اين سرعت داده‌ها را تبادل مي‌كردند. بقيه كاربران نيز وضعيت چندان مطلوبي ندارند و نيمي از كاربران يعني حدود ۳۵ ميليون نفر با سرعت ميانه ۷۵۰ كيلوبايت بر ثانيه ترافيك داشته‌اند. در بخش سرويس‌هاي نام دامنه (DNS)، تست‌هاي انجام‌شده روي سرورهاي معروف جهاني از جمله گوگل (8.8.8.8)، كلادفلر (1.1.1.1) و Quad9 نتايج ناموفق (FAILED) را نشان مي‌دهد. بررسي فني نشان مي‌دهد كه ترافيك روي پورت ۵۳ (پورت استاندارد DNS) براي پروتكل‌هاي UDP و TCP با محدوديت مواجه شده است. اين محدوديت بر فرآيند ترجمه نام دامنه به آدرس IP تأثير مي‌گذارد. يعني علاوه بر اينكه مسيرهاي بين‌المللي مسدود شده‌اند ترافيك پورت اختصاصي DNS ‌هم محدود شده است. داده‌هاي كلادفلر حاكي از افزايش زمان پاسخگويي DNS از محدوده ۱۳۳ ميلي‌ثانيه به بالاي ۴۰۰ ميلي‌ثانيه در برخي مقاطع است. در بخش‌هايي از بازه زماني مورد بررسي، داده‌اي براي زمان پاسخگويي DNS ثبت نشده است. از منظر فني، اين وضعيت مي‌تواند ناشي از تغيير در پيكربندي سيستم‌هاي مديريت ترافيك و فعال‌شدن سيستم آدرس‌دهي در سطح شبكه ملي باشد. 

  تحليل لايه انتقال و مسيريابي

با نگاهي فني‌تر به داده‌هاي اين تصوير، مي‌توان وضعيت پروتكل TCP را در مواجهه با اختلال يا فيلترينگ شديد تحليل كرد. اين نمودار توزيع اتصالاتي را نشان مي‌دهد كه در مواجهه با اختلال يا فيلترينگ شديد در ۱۰ بسته اول به دليل ارسال Reset (RST) يا Timeout خاتمه يافته‌اند. دسته‌بندي «Post SYN» به اتصالاتي اشاره دارد كه پيش از ارسال ACK نهايي براي تكميل Handshake سه‌مرحله‌اي، قطع شده‌اند. افزايش ناگهاني اين شاخص از ۱۵٪ در نشان‌دهنده اختلال در مرحله بسيار حساس برقراري اتصال است. اين رفتار معمولاً در شرايطي ديده مي‌شود كه دستگاه‌هاي مياني مانند فايروال‌هاي DPI يا سامانه‌هاي فيلترينگ هوشمند، پس از تشخيص ويژگي‌هاي خاصي از بسته‌ها (مانند SNI در لايه TLS يا پروتكل‌هاي خاص)، به جاي ارسال پاسخ معتبر، اتصال را با ارسال RST از طرف سرور جعلي (RST Injection) قطع مي‌كنند. از منظر لايه انتقال، تداوم اين الگو در روزهاي بعدي (كاهش به ۵۰٪ و ۴۰٪) نشان مي‌دهد كه زيرساخت شبكه به‌صورت هدفمند در حال مداخله در اتصالات است، تمركز اختلال روي «Post SYN» دقيقاً همان جايي است كه فيلترينگ فعال اعمال مي‌شود. اين داده‌ها عملاً تصوير فني از يك مداخله لايه‌هاي مياني در فرآيند Handshake TCP را نشان مي‌دهد كه شدت آن از روز شنبه نهم اسفند به‌طور محسوسي افزايش يافته است. تست دسترسي به پورت‌هاي شبكه روي پورت‌هاي مختلف مانند ۸۰ (HTTP)، ۴۴۳ (HTTPS)، ۵۳ (DNS over TLS) نشان مي‌دهد اين گذرگاه‌ها مسدود شده‌اند. همچنين مسدودسازي هم‌زمان پروتكل‌هاي IPv4 و IPv6 در تست‌ها مشاهده شده است. تحليل مسيريابي به سمت مراكز تبادل ترافيك اروپا (مانند AMS-IX در آمستردام) نشان مي‌دهد كه بسته‌هاي داده تا هاپ ۵ (Hop 5) پيش مي‌روند. آدرس‌هاي آي‌پي در هاپ‌هاي ۲ تا ۵ (از جمله 2.176.192.1 و 10.21.251.9) متعلق به محدوده آدرس‌هاي داخلي ايران است. پس از هاپ ۵، بسته‌ها با وضعيت Request timed out مواجه مي‌شوند و مسير ادامه پيدا نمي‌كند.