Vous êtes un administrateur réseau qui vaquez à vos activités normales. Soudain, vous constatez une énorme augmentation du trafic entrant vers votre site Web, votre application ou votre service Web. Vous déplacez immédiatement les ressources pour faire face au changement de modèle, en utilisant pilotage automatisé du trafic pour alléger la charge des serveurs surchargés. Une fois le danger immédiat passé, votre patron vous demande : que vient-il de se passer ? 

Est-ce de la vraiment une attaque DDoS ? 

Il est tentant de donner une fausse alerte dans ces situations. Les attaques par déni de service distribué (DDoS) constituent un problème de plus en plus courant, tant en termes de nombre que d'ampleur. en hausse significative chaque année. De nombreux administrateurs réseau diront qu'il doit s'agir d'une attaque DDoS en cas d'augmentation notable du trafic, même s'ils ne disposent d'aucune preuve directe pour étayer cette affirmation. 

Prouver ou réfuter qu'une attaque DDoS s'est produite peut être une question épineuse pour les administrateurs réseau et même pour les équipes de sécurité.  

Si vous utilisez une offre de base de système de noms de domaine (DNS) de bureau d'enregistrement préemballée, vous n'avez probablement pas du tout accès aux données de trafic DNS. Si vous utilisez un service DNS premium, les données pourrait Soyez là. La plupart des fournisseurs DNS faisant autorité disposent d’une sorte d’option d’observabilité. Dans le même temps, l'obtenir dans le bon format (journaux bruts, intégration SIEM, analyse prédéfinie) et le bon niveau de granularité peut être un problème.

Qu'est-ce qui cause réellement les pics de trafic DNS 

Nous analysons de nombreuses informations sur le trafic DNS avec IBM® NS1 Connect® DNS Insights, un module complémentaire facultatif à DNS géré par IBM NS1 Connect.  

DNS Insights capture un large éventail de points de données directement à partir de l'infrastructure mondiale de NS1 Connect, que nous mettons ensuite à la disposition des clients via des tableaux de bord prédéfinis et des flux de données ciblés. 

En examinant ces ensembles de données avec nos clients, nous avons constaté que relativement peu de pics de trafic global ou de réponses liées à des erreurs telles que NXDOMAIN, SERVFAIL ou REFUSED sont liés à une activité d'attaque DDoS. La plupart des pics de trafic sont plutôt causés par une mauvaise configuration. Normalement, vous verrez des codes d'erreur résultant d'environ 2 à 5 % du total des requêtes DNS. Cependant, dans certains cas extrêmes, nous avons vu des cas où plus de 60 % du volume de trafic d'une entreprise aboutit à une réponse NXDOMAIN.  

Voici quelques exemples de ce que nous avons vu et entendu de la part des utilisateurs de DNS Insights : 

"Nous sommes victimes de DDoS par notre propre équipement" 

Une entreprise comptant plus de 90,000 XNUMX travailleurs à distance rencontrait un pourcentage extraordinairement élevé de réponses NXDOMAIN. Il s’agissait d’une tendance de longue date, mais entourée de mystère car l’équipe du réseau ne disposait pas de suffisamment de données pour en déterminer la cause profonde. 

Une fois qu'ils ont examiné les données collectées par DNS Insights, il est devenu évident que les réponses de NXDOMAIN provenaient des propres zones Active Directory de l'entreprise. La configuration géographique des requêtes DNS a fourni une preuve supplémentaire que le modèle opérationnel « suivre le soleil » de l'entreprise était reproduit dans la configuration des réponses NXDOMAIN.  

À la base, ces mauvaises configurations avaient un impact sur les performances et la capacité du réseau. En approfondissant les données, ils ont également découvert un problème de sécurité plus grave : les enregistrements Active Directory étaient exposés à Internet via des tentatives de mises à jour DNS dynamiques. DNS Insights a fourni le chaînon manquant dont l'équipe réseau avait besoin pour corriger ces entrées et combler une grave faille dans les défenses de leur réseau. 

"Ça fait des années que je voulais approfondir ces théories" 

Une entreprise qui avait acquis plusieurs domaines et propriétés Web au fil des années dans le cadre d'activités de fusions et acquisitions a régulièrement constaté une augmentation notable du trafic NXDOMAIN. Ils ont supposé qu’il s’agissait d’attaques par dictionnaire contre des domaines moribonds, mais les données limitées auxquelles ils avaient accès ne pouvaient ni confirmer ni infirmer que tel était le cas. 

Avec DNS Insights, l’entreprise a finalement levé le rideau sur les modèles de trafic DNS qui produisaient des résultats aussi anormaux. Ils ont découvert que certaines des redirections qu'ils avaient mises en place pour les propriétés Web achetées n'étaient pas configurées correctement, ce qui entraînait un trafic mal redirigé et même l'exposition de certaines informations de zone interne.  

En examinant la source du trafic NXDOMAIN dans DNS Insights, la société a également pu identifier un cours d'informatique de l'Université de Columbia comme source de trafic élevé vers certains domaines existants. Ce qui aurait pu ressembler à une attaque DDoS était un groupe d'étudiants et de professeurs sondant un domaine dans le cadre d'un exercice standard. 

"Quelle IP est à l'origine de ces records QPS élevés ?" 

Une entreprise a connu des pics périodiques de trafic de requêtes, mais n'a pas pu en identifier la cause profonde. Ils ont supposé qu’il s’agissait d’une sorte d’attaque DDoS, mais ne disposaient d’aucune donnée pour étayer leur théorie. 

En examinant les données de DNS Insights, il s’est avéré que ce sont les domaines internes, et non les acteurs externes, qui étaient à l’origine de ces augmentations du volume de requêtes. Une mauvaise configuration redirigeait les utilisateurs internes vers des domaines destinés aux clients externes. 

Grâce aux données capturées par DNS Insights, l'équipe a pu exclure les attaques DDoS comme cause et résoudre le problème réel en corrigeant le problème de routage interne.  

Les données DNS identifient les causes profondes 

Dans tous ces cas, l’augmentation du trafic de requêtes que les équipes réseau attribuaient initialement à une attaque DDoS s’est avérée être une mauvaise configuration ou une erreur de routage interne. Ce n’est qu’après avoir étudié plus en profondeur les données DNS que les équipes réseau ont pu identifier la cause profonde de modèles de trafic déroutants et d’activités anormales. 

Chez NS1, nous avons toujours su que le DNS était un levier essentiel qui aide les équipes réseau à améliorer les performances, à accroître la résilience et à réduire les coûts d'exploitation. Les données granulaires et détaillées provenant de DNS Insights constituent un guide précieux qui relie les points entre les modèles de trafic et les causes profondes. De nombreuses entreprises fournissent des journaux DNS bruts, mais NS1 va encore plus loin. DNS Insights traite et analyse les données pour vous, réduisant ainsi les efforts et le temps nécessaires au dépannage de votre réseau. 

En savoir plus sur les informations contenues dans DNS Insights