あなたは通常の業務を行っているネットワーク管理者です。突然、Web サイト、アプリケーション、または Web サービスへの受信トラフィックが大幅に急増しています。変化するパターンに対処するために、次のようにリソースを即座に切り替えます。 自動交通誘導 過剰な負荷がかかるサーバーから負荷を軽減します。当面の危険が去った後、上司は「何が起こったのですか?」と尋ねます。
それは...ですか 本当に DDoS攻撃ですか?
このような状況では、誤った警報を発したくなります。分散型サービス拒否 (DDoS) 攻撃は、攻撃の数と規模の両方でますます一般的な問題となっています 毎年大幅に上昇。ネットワーク管理者の多くは、トラフィックが顕著に増加すると、たとえその主張を裏付ける直接的な証拠がなくても、「何らかの DDoS 攻撃があったに違いない」と言うでしょう。
DDoS 攻撃が発生したことを証明するか反証するかは、ネットワーク管理者だけでなくセキュリティ チームにとっても厄介な問題となる可能性があります。
基本的なパッケージ化されたレジストラーのドメイン ネーム システム (DNS) 製品を使用している場合は、DNS トラフィック データにまったくアクセスできない可能性があります。プレミアム DNS サービスを使用している場合、データ かもしれない そこにいる。ほとんどの権威ある DNS プロバイダーには、何らかの可観測性オプションがあります。同時に、適切な形式 (生のログ、SIEM 統合、事前構築された分析) と適切なレベルの粒度でデータを取得することが問題になる可能性があります。
DNS トラフィックの急増の実際の原因
多くのDNSトラフィック情報を分析します。 IBM® NS1 Connect® DNS インサイト、オプションのアドオン IBM NS1 Connect マネージド DNS.
DNS Insights は、NS1 Connect のグローバル インフラストラクチャから直接幅広いデータ ポイントをキャプチャし、事前構築されたダッシュボードと対象を絞ったデータ フィードを通じて顧客が利用できるようにします。
お客様とともにこれらのデータセットをレビューしたところ、全体的なトラフィックの急増や、NXDOMAIN、SERVFAIL、REFUSED などのエラー関連の応答のうち、DDoS 攻撃アクティビティに関連するものは比較的少ないことがわかりました。トラフィックの急増のほとんどは、設定ミスによって引き起こされます。通常、DNS クエリ全体の約 2 ~ 5% の結果としてエラー コードが表示されます。ただし、極端なケースでは、企業のトラフィック量の 60% 以上が NXDOMAIN 応答となる例も見られます。
以下に、DNS Insights ユーザーから見聞きしたことの例をいくつか示します。
「私たちは独自の機器によって DDoS 攻撃を受けています」
90,000 人を超えるリモート ワーカーを抱える企業では、NXDOMAIN 応答の割合が異常に高くなっていました。これは長年のパターンでしたが、ネットワーク チームには根本原因を解明するのに十分なデータがなかったため、謎に包まれていました。
DNS Insights によって収集されたデータを詳しく調査したところ、NXDOMAIN 応答が会社独自の Active Directory ゾーンから送信されていることが明らかになりました。 DNS クエリの地理的パターンは、同社の「太陽に従う」運用モデルが NXDOMAIN 応答のパターンで複製されたことをさらに証明しました。
基本的なレベルでは、これらの構成ミスはネットワークのパフォーマンスと容量に影響を与えていました。データをさらに詳しく調べたところ、さらに深刻なセキュリティ問題も見つかりました。それは、動的 DNS 更新の試行によって、Active Directory レコードがインターネットに公開されていたということです。 DNS Insights は、ネットワーク チームがこれらのエントリを修正し、ネットワーク防御の重大な穴を塞ぐために必要なミッシング リンクを提供しました。
「私は何年もの間、これらの理論を調べたいと思っていました。」
M&A 活動を通じて長年にわたって複数のドメインと Web プロパティを取得してきた企業では、NXDOMAIN トラフィックの顕著な増加が日常的に見られました。彼らは、これらは瀕死のドメインに対する辞書攻撃であると考えていましたが、アクセスできるデータが限られていたため、これが事実であることを確認することも否定することもできませんでした。
同社は DNS Insights を使用して、このような異常な結果をもたらした DNS トラフィック パターンをついに幕引きしました。彼らは、購入した Web プロパティに設定したリダイレクトの一部が正しく構成されていないことを発見しました。その結果、トラフィックが誤って送信され、一部の内部ゾーン情報が漏洩することさえありました。
DNS Insights で NXDOMAIN トラフィックのソースを確認することで、同社はコロンビア大学のコンピューター サイエンスのコースが一部のレガシー ドメインへのトラフィック増加のソースであることも特定できました。 DDoS 攻撃のように見えたのは、学生と教授のグループが標準的な演習の一環としてドメインを調査していたことです。
「QPS の高い記録を引き起こしているのはどの IP ですか?」
ある企業ではクエリ トラフィックが定期的に急増しましたが、根本原因を特定できませんでした。彼らは、これが何らかの DDoS 攻撃であると想定していましたが、理論を裏付けるデータはありませんでした。
DNS Insights のデータを確認すると、クエリ量の急増の背後には外部の攻撃者ではなく内部ドメインがあることが判明しました。構成ミスにより、内部ユーザーが外部顧客向けのドメインにルーティングされていました。
DNS Insights によって収集されたデータを使用して、チームは DDoS 攻撃が原因であることを除外し、内部ルーティングの問題を修正することで実際の問題に対処することができました。
DNS データにより根本原因が特定される
これらすべてのケースにおいて、ネットワーク チームが当初 DDoS 攻撃によるものと考えていたクエリ トラフィックの増加は、構成ミスまたは内部ルーティング エラーであることが判明しました。ネットワーク チームは、DNS データを詳しく調査した後でのみ、複雑なトラフィック パターンと異常なアクティビティの根本原因を特定することができました。
NS1 では、DNS がネットワーク チームのパフォーマンスの向上、復元力の強化、運用コストの削減に役立つ重要な手段であることを常に認識していました。 DNS Insights から得られる粒度の細かい詳細なデータは、トラフィック パターンと根本原因の間の点と点を結び付ける貴重なガイドとなります。多くの企業が生の DNS ログを提供していますが、NS1 はさらに一歩進んでいます。 DNS Insights はデータを処理および分析し、ネットワークのトラブルシューティングに必要な労力と時間を削減します。
DNS Insights に含まれる情報の詳細については、こちらをご覧ください。
この記事は役に立ちましたか?
有りいいえ
サイバーセキュリティの詳細
IBM ニュースレター
最新の思想的リーダーシップと新たなトレンドに関する洞察を提供するニュースレターとトピックの最新情報を入手してください。
今すぐ会員登録します。
その他のニュースレター
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
- プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
- プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
- プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
- 情報源: https://www.ibm.com/blog/not-every-dns-traffic-spike-is-a-ddos-attack/