U bent een netwerkbeheerder die uw normale werkzaamheden uitvoert. Plotseling ziet u een enorme piek in het inkomend verkeer naar uw website, uw applicatie of uw webservice. Je verplaatst onmiddellijk de middelen om met het veranderende patroon om te gaan, door gebruik te maken van geautomatiseerde verkeersleiding om de belasting van overbelaste servers weg te leiden. Nadat het directe gevaar geweken is, vraagt ​​je baas: wat is er net gebeurd? 

Is het werkelijk een DDoS-aanval? 

In deze situaties is het verleidelijk om vals alarm te slaan. Distributed Denial of Service (DDoS)-aanvallen zijn een steeds vaker voorkomend probleem, zowel qua aantal als qua omvang elk jaar aanzienlijk stijgen. Veel netwerkbeheerders zullen zeggen dat het "een of andere DDoS-aanval moet zijn geweest" als er een opmerkelijke toename in het verkeer is, zelfs als ze geen direct bewijs hebben om deze bewering te ondersteunen. 

Bewijzen of ontkrachten dat er een DDoS-aanval heeft plaatsgevonden kan een netelige kwestie zijn voor netwerkbeheerders en zelfs beveiligingsteams.  

Als u gebruikmaakt van een standaard, voorverpakt Domain Name System (DNS)-aanbod van een registrar, heeft u waarschijnlijk helemaal geen toegang tot DNS-verkeersgegevens. Als u een premium DNS-service gebruikt, worden de data macht wees erbij. De meeste gezaghebbende DNS-providers hebben een vorm van observatieoptie. Tegelijkertijd kan het een probleem zijn om het in het juiste formaat (onbewerkte logboeken, SIEM-integratie, vooraf gebouwde analyse) en het juiste granulariteitsniveau te krijgen

Wat veroorzaakt eigenlijk DNS-verkeerspieken? 

We analyseren veel DNS-verkeersinformatie met IBM® NS1 Connect® DNS-inzichten, een optionele add-on voor IBM NS1 Connect beheerde DNS.  

DNS Insights legt een breed scala aan datapunten rechtstreeks vast uit de wereldwijde infrastructuur van NS1 Connect, die we vervolgens beschikbaar stellen aan klanten via vooraf gebouwde dashboards en gerichte datafeeds. 

Toen we deze datasets met klanten beoordeelden, ontdekten we dat relatief weinig van de pieken in het totale verkeer of foutgerelateerde reacties zoals NXDOMAIN, SERVFAIL of REFUSED verband houden met DDoS-aanvalsactiviteit. De meeste pieken in het verkeer worden veroorzaakt door een verkeerde configuratie. Normaal gesproken ziet u foutcodes die voortvloeien uit ongeveer 2-5% van de totale DNS-query's. In sommige extreme gevallen hebben we echter gevallen gezien waarin meer dan 60% van het verkeersvolume van een bedrijf resulteert in een NXDOMAIN-reactie.  

Hier zijn een paar voorbeelden van wat we hebben gezien en gehoord van DNS Insights-gebruikers: 

“We worden DDoS-ed door onze eigen apparatuur” 

Een bedrijf met meer dan 90,000 externe werknemers ondervond een buitengewoon hoog percentage NXDOMAIN-reacties. Dit was een al lang bestaand patroon, maar een patroon dat in mysterie gehuld was omdat het netwerkteam niet over voldoende gegevens beschikte om de oorzaak te achterhalen. 

Toen ze zich eenmaal verdiepten in de gegevens die DNS Insights verzamelde, werd het duidelijk dat de NXDOMAIN-reacties afkomstig waren uit de eigen Active Directory-zones van het bedrijf. Het geografische patroon van DNS-query's leverde verder bewijs dat het 'follow the sun'-bedrijfsmodel van het bedrijf werd herhaald in het patroon van NXDOMAIN-reacties.  

Op een basaal niveau hadden deze verkeerde configuraties invloed op de netwerkprestaties en -capaciteit. Toen ze verder in de gegevens doken, ontdekten ze ook een ernstiger beveiligingsprobleem: Active Directory-records werden blootgesteld aan internet via pogingen tot dynamische DNS-updates. DNS Insights vormde de ontbrekende schakel die het netwerkteam nodig had om deze gegevens te corrigeren en een ernstig gat in de netwerkverdediging te dichten. 

“Ik wil deze theorieën al jaren onderzoeken” 

Een bedrijf dat in de loop der jaren via fusies en overnames meerdere domeinen en webeigendommen had verworven, zag routinematig een opmerkelijke toename van het NXDOMAIN-verkeer. Ze gingen ervan uit dat dit woordenboekaanvallen waren op stervende domeinen, maar de beperkte gegevens waartoe ze toegang hadden konden noch bevestigen noch ontkennen dat dit het geval was. 

Met DNS Insights trok het bedrijf eindelijk het gordijn open voor de DNS-verkeerspatronen die zulke afwijkende resultaten opleverden. Ze ontdekten dat sommige van de omleidingen die ze hadden ingesteld voor gekochte webeigendommen niet correct waren geconfigureerd, wat resulteerde in verkeerd omgeleid verkeer en zelfs de openbaarmaking van bepaalde interne zone-informatie.  

Door naar de bron van het NXDOMAIN-verkeer in DNS Insights te kijken, kon het bedrijf ook een computerwetenschappencursus aan Columbia University identificeren als de bron van veel verkeer naar een aantal oudere domeinen. Wat op een DDoS-aanval leek, was een groep studenten en professoren die een domein onderzochten als onderdeel van een standaardoefening. 

"Welk IP-adres heeft deze hoge QPS-records veroorzaakt?" 

Een bedrijf ondervond periodieke pieken in het queryverkeer, maar kon de oorzaak niet identificeren. Ze gingen ervan uit dat het een of andere DDoS-aanval was, maar hadden geen gegevens om hun theorie te ondersteunen. 

Kijkend naar de gegevens in DNS Insights bleek dat interne domeinen (en niet externe actoren) achter deze uitbarstingen van toegenomen vraagvolume zaten. Een verkeerde configuratie was het routeren van interne gebruikers naar domeinen die bedoeld waren voor externe klanten. 

Met behulp van de gegevens die zijn vastgelegd door DNS Insights kon het team DDoS-aanvallen als oorzaak uitsluiten en het daadwerkelijke probleem aanpakken door het interne routeringsprobleem te corrigeren.  

DNS-gegevens identificeren de hoofdoorzaken 

In al deze gevallen bleek het verhoogde queryverkeer dat netwerkteams aanvankelijk toeschreven aan een DDoS-aanval een verkeerde configuratie of een interne routeringsfout te zijn. Pas nadat ze dieper in de DNS-gegevens hadden gekeken, konden de netwerkteams de hoofdoorzaak van verwarrende verkeerspatronen en afwijkende activiteit achterhalen. 

Bij NS1 hebben we altijd geweten dat DNS een cruciale hefboom is die netwerkteams helpt de prestaties te verbeteren, veerkracht toe te voegen en de bedrijfskosten te verlagen. De gedetailleerde, gedetailleerde gegevens die uit DNS Insights komen, zijn een waardevolle gids die de verbinding legt tussen verkeerspatronen en hoofdoorzaken. Veel bedrijven bieden onbewerkte DNS-logboeken, maar NS1 gaat nog een stap verder. DNS Insights verwerkt en analyseert gegevens voor u, waardoor u minder moeite en tijd hoeft te besteden aan het oplossen van problemen met uw netwerk. 

Meer informatie over de informatie in DNS Insights