당신은 일반적인 업무를 수행하는 네트워크 관리자입니다. 갑자기 웹 사이트, 애플리케이션 또는 웹 서비스에 대한 인바운드 트래픽이 크게 급증하고 있습니다. 변화하는 패턴에 대처하기 위해 즉시 리소스를 이동합니다. 자동화된 교통 조향 과부하된 서버의 부하를 줄여줍니다. 즉각적인 위험이 지나간 후 ​​상사가 묻습니다. 방금 무슨 일이 일어났나요? 

그렇지 않아? 정말 DDoS 공격? 

이러한 상황에서는 잘못된 경보를 울리고 싶은 유혹이 있습니다. DDoS(분산 서비스 거부) 공격은 공격 횟수와 규모 측면에서 점점 더 일반적인 문제가 되고 있습니다. 매년 큰 폭으로 상승. 많은 네트워크 관리자는 트래픽이 눈에 띄게 증가하면 주장을 뒷받침할 직접적인 증거가 없더라도 "일종의 DDoS 공격임에 틀림없다"고 말할 것입니다. 

DDoS 공격이 발생했음을 입증하거나 반증하는 것은 네트워크 관리자는 물론 보안 팀에게도 까다로운 문제가 될 수 있습니다.  

기본적으로 사전 패키지된 등록 기관 DNS(Domain Name System) 제품을 사용하는 경우 DNS 트래픽 데이터에 전혀 액세스할 수 없습니다. 프리미엄 DNS 서비스를 사용하는 경우 데이터 수도 거기 있어라. 대부분의 권위 있는 DNS 제공업체에는 일종의 관찰 가능성 옵션이 있습니다. 동시에 올바른 형식(원시 로그, SIEM 통합, 사전 구축된 분석)과 올바른 세분성 수준으로 가져오는 것이 문제가 될 수 있습니다.

실제로 DNS 트래픽 급증을 일으키는 원인은 무엇입니까? 

우리는 많은 DNS 트래픽 정보를 분석합니다. IBM® NS1 Connect® DNS 인사이트, 선택적 추가 기능 IBM NS1 Connect 관리형 DNS.  

DNS Insights는 NS1 Connect의 글로벌 인프라에서 직접 광범위한 데이터 포인트를 캡처한 다음 사전 구축된 대시보드와 대상 데이터 피드를 통해 고객에게 제공합니다. 

고객과 함께 이러한 데이터 세트를 검토하면서 전체 트래픽의 급증이나 NXDOMAIN, SERVFAIL 또는 REFUSED와 같은 오류 관련 응답 중 DDoS 공격 활동과 관련된 경우가 상대적으로 적다는 사실을 발견했습니다. 대부분의 트래픽 급증은 잘못된 구성으로 인해 발생합니다. 일반적으로 전체 DNS 쿼리의 약 2~5%에서 발생하는 오류 코드가 표시됩니다. 그러나 일부 극단적인 경우에는 회사 트래픽 볼륨의 60% 이상이 NXDOMAIN 응답으로 이어지는 경우도 있었습니다.  

다음은 DNS Insights 사용자로부터 보고 들은 내용의 몇 가지 예입니다. 

“우리는 우리 장비로 DDoS 공격을 받고 있습니다” 

원격 근무자가 90,000명이 넘는 한 회사는 NXDOMAIN 응답 비율이 매우 높았습니다. 이는 오랜 패턴이었지만 네트워크 팀에 근본 원인을 파악하기에 충분한 데이터가 부족했기 때문에 미스터리에 싸였습니다. 

DNS Insights에서 수집한 데이터를 조사한 결과 NXDOMAIN 응답이 회사 자체 Active Directory 영역에서 오는 것이 분명해졌습니다. DNS 쿼리의 지리적 패턴은 회사의 "태양을 따르라" 운영 모델이 NXDOMAIN 응답 패턴에 복제되었다는 추가 증거를 제공했습니다.  

기본적으로 이러한 잘못된 구성은 네트워크 성능과 용량에 영향을 미쳤습니다. 데이터를 더 자세히 조사한 결과 더 심각한 보안 문제도 발견했습니다. 즉, Active Directory 레코드가 동적 DNS 업데이트 시도를 통해 인터넷에 노출되고 있었습니다. DNS Insights는 네트워크 팀이 이러한 항목을 수정하고 네트워크 방어에 심각한 허점을 메우는 데 필요한 누락된 링크를 제공했습니다. 

“나는 수년간 이러한 이론을 조사하고 싶었습니다.” 

M&A 활동을 통해 수년간 여러 도메인과 웹 자산을 획득한 한 회사는 정기적으로 NXDOMAIN 트래픽이 눈에 띄게 증가했습니다. 그들은 이것이 빈사 도메인에 대한 사전 공격이라고 가정했지만, 그들이 접근할 수 있는 제한된 데이터로는 이것이 사실인지 확인하거나 부인할 수 없었습니다. 

DNS Insights를 통해 회사는 마침내 그러한 변칙적인 결과를 낳은 DNS 트래픽 패턴의 막을 열었습니다. 그들은 구입한 웹 자산에 대해 설정한 리디렉션 중 일부가 올바르게 구성되지 않아 트래픽이 잘못 전달되고 일부 내부 영역 정보가 노출된다는 사실을 발견했습니다.  

DNS Insights에서 NXDOMAIN 트래픽의 소스를 조사함으로써 회사는 Columbia University의 컴퓨터 과학 과정이 일부 레거시 도메인에 대한 트래픽 증가의 소스임을 식별할 수도 있었습니다. DDoS 공격으로 보일 수 있는 것은 표준 연습의 일부로 도메인을 조사하는 학생 및 교수 그룹이었습니다. 

“어떤 IP가 그렇게 높은 QPS 기록을 일으켰나요?” 

한 회사에서는 쿼리 트래픽이 주기적으로 급증했지만 근본 원인을 식별할 수 없었습니다. 그들은 그것이 일종의 DDoS 공격이라고 가정했지만 그들의 이론을 뒷받침할 데이터가 없었습니다. 

DNS Insights의 데이터를 살펴보면 쿼리 볼륨이 급증한 원인이 외부 행위자가 아닌 내부 도메인이라는 사실이 밝혀졌습니다. 잘못된 구성으로 인해 내부 사용자가 외부 고객용 도메인으로 라우팅되었습니다. 

DNS Insights에서 캡처한 데이터를 사용하여 팀은 DDoS 공격을 원인으로 배제하고 내부 라우팅 문제를 수정하여 실제 문제를 해결할 수 있었습니다.  

DNS 데이터는 근본 원인을 식별합니다. 

이 모든 경우에 네트워크 팀이 처음에 DDoS 공격으로 인한 쿼리 트래픽 증가는 잘못된 구성 또는 내부 라우팅 오류로 밝혀졌습니다. 네트워크 팀은 DNS 데이터를 더 깊이 조사한 후에야 복잡한 트래픽 패턴과 비정상적인 활동의 근본 원인을 정확히 찾아낼 수 있었습니다. 

NS1에서는 DNS가 네트워크 팀의 성능을 향상시키고 탄력성을 추가하며 운영 비용을 낮추는 데 도움이 되는 중요한 수단이라는 것을 항상 알고 있었습니다. DNS Insights에서 제공되는 세분화되고 상세한 데이터는 트래픽 패턴과 근본 원인 사이의 점을 연결하는 귀중한 가이드입니다. 많은 회사에서 원시 DNS 로그를 제공하지만 NS1은 한 단계 더 나아갑니다. DNS Insights는 데이터를 처리하고 분석하여 네트워크 문제를 해결하는 데 필요한 노력과 시간을 줄여줍니다. 

DNS Insights에 포함된 정보에 대해 자세히 알아보세요.