أظهر تقرير صادر عن شركة GreyNoise لتحليل التهديدات أن أنظمة السمعة المعتمدة على عناوين IP تواجه خللًا هيكليًا عند التعامل مع بروكسيات المنازل.
خلال فترة 90 يومًا بين 29 نوفمبر 2025 و27 فبراير 2026، تم تحليل أكثر من 4 مليارات جلسة استهدفت الحافة الشبكية، وتبين أن 39% من عناوين IP الفريدة جاءت من اتصالات منزلية، وأن 78% منها تختفي قبل أن تتمكن أنظمة السمعة من رصدها.
هذا السلوك يجعل عناوين المصدر غير قابلة للتمييز عن اتصالات المستخدمين الشرعيين، ويعطل فعالية أنظمة الحماية القائمة على السمعة.
طبيعة النشاط الخبيث
البيانات أوضحت أن 0.1% فقط من جلسات بروكسي المنازل تحمل حمولة استغلالية، مقارنة بـ 1.0% من البنى المستضافة، مما يشير إلى أن استخدامها يتركز في المسح الشبكي والاستطلاع أكثر من الهجمات المباشرة.
هذه الحركة غالبًا ما تُولد بواسطة بوتنتات إنترنت الأشياء (IoT) وأجهزة كمبيوتر مصابة، وتتميز بقدرتها على الصمود أمام محاولات الإزالة. فعلى سبيل المثال، بعد أن فقدت شبكة IPIDEA نحو 40% من عقدها، تمكن المشغلون من تعويض النقص خلال أسابيع قليلة، وهو نمط يتكرر بعد كل عملية تعطيل.
التحديات الأمنية والحلول المقترحة
يشير التقرير إلى أن معدل دوران عناوين IP في بروكسيات المنازل يتجاوز دورة تحديث أي نظام دفاعي قائم على التغذية، مما يجعل الاعتماد على السمعة غير فعال.
لذلك، توصي GreyNoise بالانتقال من سؤال “من أين يأتي الاتصال؟” إلى “ماذا يفعل الاتصال؟”.
الحل الأكثر استدامة يتمثل في بصمة الأجهزة (Device Fingerprinting)، إذ أن البصمات تبقى ثابتة حتى مع تبديل عناوين IP، مما يوفر وسيلة أكثر موثوقية للكشف عن الأنشطة الخبيثة.
