ما در حال آنالیز ترافیک DNS هستیم. براین‌اساس، یک سیستم ردیابی نظارت DNS منتشر کرده‌ایم که ناهنجاری‌ها و ارتباطات مختلف را در آن آنالیز می‌کند. هم اکنون:

• 2 درصد سایتها، کد استخراج‌ وب را در صفحه‌ی اول خود جاسازی کرده‌اند: 241  (%0.24) سایت، خارج از صدهزار سایت تاپ الکسا ، و 629 ( %0.21) سایت، خارج از سیصدهزار سایت تاپ الکسا

• سایتهای مرتبط با هرزه‌نگاری، سهم اصلی را تشکیل می‌دهند، برابر با 49% .     بقیه شامل کلاهبرداری (%8)، تبلیغات (%7)، استخراج(%7)، فیلم و تلویزیون(%6) و ... می‌شود.

• بیش از 10 سایت، برای استخراج، ارائه ظرفیت فنی می‌دهند. بزرگترین آنها coinhive.com، با سهم 57%، بدنبال آن coin-hive.com (%8)، load.jsecoin.com (%7)، webmine.pro (%7)، authedmine.com  (%4) و ...

استخراج وب اخیرا، با قوانین زیر، تبدیل به یک تجارت شده است:

• کاربران نهایی: در حال حاضر، منافع آنها نادیده گرفته شده است

• سایتهای استخراج: ارائه‌ی اسکریپتها و توانایی استخراج وب

• سایت محتوایی/پربازدید: سایتهایی موجود، دارای پایگاه پرکاربر، اما کمبود مفهومی برای کسب درآمد. آنها هم‌اکنون ترافیک بی‌ثمری را به سایتهای استخراج، هدایت می‌کنند و با استفاده از کامپیوتر بازدیدکننده‌های سایت، بوسیله استخراج وب، کسب درآمد می‌کنند. اخیرا بعضی سایتهای محتوایی، ظرفیت استخراج منحصر به خود را راه‌اندازی کرده‌اند، و دیگر نیازی به تقسیم سودشان با سایتهای استخراج ندارند.

بیش از 600 سایت محتوایی/پربازدید
در 300هزار سایت برتر الکسا، با چک کردن صفحه اصلی آنها، متوجه شدیم که 628 سایت، کد استخراج جاسازی‌شده دارند. کلمات اصلی این دامنه‌ها را در نمودار زیر نشان می‌دهیم تا خواننده بتواند درک بصری داشته باشد. بخاطر خاصیت هرزه‌نگاری، اسم اینگونه دامنه‌ها را منتشر نمی‌کنیم.
محتوای این سایتها بشکل دسته‌بندی‌شده:

بیش از 10 سایت استخراجگر
رتبه‌بندی سهم تجاری سایتهای استخراجگر
سایتهای محتوایی، از طریق سایتهای استخراجگر، سعی بر کسب درآمد از ترافیک کاربران خود دارند.
10 سایت استخراجگر تاپ، برطبق استفاده‌ی سایتهای محتوایی از آنها، در تاریخ 6 فوریه 2018 به این شکل است:

نکته‌ای که باید توجه کرد اینست که کلا  فقط 628 سایت محتوایی وجود دارد، اما سایتهای استخراجگر 728 بار استفاده شده‌اند. چراکه بعضی سایتهای محتوایی از دو یا چند سایت استخراجگر در آن‌واحد استفاده می‌کنند که در این نوع تجارت، امری عادیست.
دسته‌بندی سایتهای استخراجگر
همه‌ی این سایتها به دسته‌های متنوع و مختلفی تعلق دارند. بعضی از این دسته‌های شناخته شده از این قرار است:
‌روند ترافیکی سایتهای استخراجگر
ترافیک DNS سایتهای استخراجگر در این نمودار نشان داده‌شده است
 

میبینیم که:

• این تجارت حدودا از سپتامبر 2017 آغاز شد، coin-hive.com  و coinhive.com از تاریخ 15 سپتامبر تا 28 سپتامبر 2017 به وفور استفاده شده است.

• این تجارت رو به رشد است، دو پیشرفت بزرگ حدودا در اکتبر 2017 و ژانویه 2018 رخ داده است.

• بزرگترین دسته‌ی بازیکن، coinhive ها هستند، که با این نمودار رتبه‌بندی، ثابت می‌شود. بعنوان نماینده‌ی دسته، محبوبیت coinhive.com تا بیش از 20هزار رسیده است.

• ارائه‌دهنده‌های بیشتری برای سایتهای استخراجگر، درحال ورود به این تجارت هستند

در طرف دیگر ماجرا، اخیرا مشاهده کردیم که ترافیک سایت اصلیِ دسته‌ی coinhave ، به محض انحراف ترافیک به سمت سایتهای زیرمجموعه، آنهم با هدف پیچیده کردن مسیر، شروع به کم شدن کرده است.
 
بازیکنان جدید و بازی‌های جدید
همچنین چند بازیکن جدید که اخیرا به این تجارت پیوسته‌اند را معرفی می‌کنیم:

• تبلیغ‌کننده‌ها: حالت استخراجگری در بعضی سایتهای محتوایی درواقع توسط تبلیغ‌کننده‌ها معرفی می‌شود

• لینک‌های شِل: برخی سایتهای محتوایی از لینک‌های شِل برای گریز از بازرسیِ کد منبع، استفاده می‌کنند.

• کوتاه‌کننده‌های URL: سایت goobo.com.br یک کوتاه‌کننده‌ی URL در برزیل است. صفحه‌ی اصلی آن مثل URLهای کوتاه‌شده‌ای که تولید می‌کند، حین دیده‌شدن، استخراجگر coinhive را بارگزاری می‌کند.

• آلودگی زنجیره‌ی تأمین:  سایت www.midijs.net یک پخش‌کننده‌ی فایل MIDI برپایه‌ی JS است، که کدمنبع آن با اسکریپت coinhive جاسازی شده است.

• مخزن استخراجی خودساز: پروژه‌ی متن‌بازی در github وجود دارد که میتوان از آن برای تنظیم مخزن خصوصی استخراجی استفاده کرد.

•  استخراج آگاهانه ی کاربر نهایی: سایت authedmine.com یک سایت استخراجگر جدید است که این کار را فقط با اجازه‌ی کاربر انجام می‌دهد.

 
طرز کار و فواید تشخیص استخراج وب از طریق نظارت DNS
ما از DNSMon برای نظارت بر سایتهایی که اقدام به استخراج وب می‌کنند، استفاده کرده‌ایم. این نظارت‌‌ها موثر بوده است زیرا:

• هنگامیکه که کاربر، سایتی محتوایی را باز می‌کند و بدنبال آن سایتی استخراجگر(مثل coinhive.com) بارگزاری می‌شود، چنین ارتباطی بین دامنه‌ی سایت محتوایی و دامنه‌ی سایت استخراجگر، توسط سیستم نظارت DNS ما، ثبت می‌شود.

• در این مورد، ما سایتهای محتوایی مربوط را بوسیله‌ی بررسی ارتباطات coinhive.com شناسایی می‌کنیم.

• سایتهای محتوایی ممکن است بعضی اوقات تبدیل به یک سایت استخراجگر شوند، و ما تمام این تغییرات را ثبت کردیم. به این شکل می‌توانیم تصویر کلی این تجارت را ترسیم کنیم.

 
استفاده از نظارت DNS برای تشخیص سایتهای استخراجگر، فواید و مضرات خودش را دارد:

• فواید

  • پوشش وسیع

  • تقریبا بموقع

  • دقت بالا

  • توانایی استفاده از نسل دامنه‌های استخراجگر برای کشف سایتهای مشکوک دیگر از طریق ارتباطات دامنه

  • پشتیبانی از تشخیص موارد ربودن لینک‌ها، که بهتر از وب اسکنرهای مرسوم است.

• مضرات

  • فقط ارتباط بین دامنه‌ها را آشکار می‌کند، و برای تأیید استخراج صفحه‌وب، نیاز به روش‌های دیگر دارد.

بطور خلاصه، می‌توان از سیستم نظارت DNS برای این موارد استفاده کرد:

• کشف حجم زیادی از سایتهای مشکوک

• تشخیص سریع استخراج وب

• مکانیابی سایتهای استخراجگری که از روشهایی مثل کدمورفینگ یا لینک شِل استفاده می‌کنند.