Jesteś administratorem sieci i zajmujesz się normalnymi sprawami. Nagle zauważasz ogromny wzrost ruchu przychodzącego do Twojej witryny, aplikacji lub usługi internetowej. Natychmiast przesuwasz zasoby, aby poradzić sobie ze zmieniającym się wzorcem, używając automatyczne sterowanie ruchem aby odciążyć przeciążone serwery. Kiedy już minęło bezpośrednie zagrożenie, Twój szef pyta: co się właśnie stało? 

Czy to naprawdę atak DDoS? 

W takich sytuacjach kuszące jest wszczęcie fałszywego alarmu. Ataki typu rozproszona odmowa usługi (DDoS) są coraz częstszym problemem, zarówno pod względem liczby, jak i skali ataków. co roku znacząco rośnie. Wielu administratorów sieci powie „to musiał być jakiś atak DDoS”, gdy nastąpi zauważalny wzrost ruchu, nawet jeśli nie mają żadnych bezpośrednich dowodów na poparcie tego twierdzenia. 

Udowodnienie lub obalenie wystąpienia ataku DDoS może być drażliwym problemem dla administratorów sieci, a nawet zespołów ds. bezpieczeństwa.  

Jeśli korzystasz z podstawowego, wstępnie spakowanego systemu nazw domen (DNS), prawdopodobnie nie masz w ogóle dostępu do danych o ruchu DNS. Jeśli korzystasz z usługi premium DNS, plik data może bądź tam. Większość autorytatywnych dostawców DNS ma jakąś opcję obserwowalności. Jednocześnie problemem może być uzyskanie odpowiedniego formatu (surowe logi, integracja SIEM, wstępnie zbudowana analiza) i odpowiedniego poziomu szczegółowości

Co tak naprawdę powoduje skoki ruchu DNS 

Analizujemy wiele informacji o ruchu DNS za pomocą Informacje o DNS IBM® NS1 Connect®, opcjonalny dodatek do Zarządzany DNS IBM NS1 Connect.  

DNS Insights przechwytuje szeroki zakres punktów danych bezpośrednio z globalnej infrastruktury NS1 Connect, które następnie udostępniamy klientom za pośrednictwem gotowych pulpitów nawigacyjnych i ukierunkowanych źródeł danych. 

Przeglądając te zbiory danych z klientami, odkryliśmy, że stosunkowo niewiele skoków ogólnego ruchu lub odpowiedzi związanych z błędami, takich jak NXDOMAIN, SERVFAIL lub REFUSED, ma związek z aktywnością w postaci ataków DDoS. Większość skoków ruchu jest spowodowana błędną konfiguracją. Zwykle zobaczysz kody błędów wynikające z około 2-5% wszystkich zapytań DNS. Jednak w niektórych skrajnych przypadkach zaobserwowaliśmy przypadki, w których ponad 60% wolumenu ruchu firmy kończy się odpowiedzią NXDOMAIN.  

Oto kilka przykładów tego, co widzieliśmy i słyszeliśmy od użytkowników DNS Insights: 

„Jesteśmy poddawani DDoS przez nasz własny sprzęt” 

Firma zatrudniająca ponad 90,000 XNUMX pracowników zdalnych odnotowała niezwykle wysoki odsetek odpowiedzi NXDOMAIN. Był to schemat utrzymujący się od dawna, jednak owiany tajemnicą, ponieważ zespołowi sieciowemu brakowało wystarczających danych, aby ustalić pierwotną przyczynę. 

Po zagłębieniu się w dane zebrane przez DNS Insights stało się jasne, że odpowiedzi NXDOMAIN pochodzą z własnych stref Active Directory firmy. Geograficzny wzorzec zapytań DNS dostarczył kolejnego dowodu na to, że model operacyjny firmy „follow the sun” został odtworzony we wzorze odpowiedzi NXDOMAIN.  

Na podstawowym poziomie te błędne konfiguracje miały wpływ na wydajność i przepustowość sieci. Wgłębiając się w dane, odkryli także poważniejszy problem bezpieczeństwa: rekordy Active Directory były ujawniane w Internecie w wyniku prób aktualizacji dynamicznego DNS. Usługa DNS Insights zapewniła brakujące ogniwo, którego potrzebował zespół ds. sieci, aby poprawić te wpisy i załatać poważną lukę w zabezpieczeniach sieci. 

„Od lat chciałem przyjrzeć się tym teoriom” 

Firma, która na przestrzeni lat nabyła wiele domen i usług internetowych w wyniku fuzji i przejęć, regularnie odnotowywała znaczny wzrost ruchu w witrynie NXDOMAIN. Zakładali, że są to ataki słownikowe na ginące domeny, ale ograniczone dane, do których mieli dostęp, nie mogły ani potwierdzić, ani zaprzeczyć, że tak było. 

Dzięki DNS Insights firma w końcu odsłoniła kurtynę wzorców ruchu DNS, które generowały tak nietypowe wyniki. Odkryli, że niektóre przekierowania, które wprowadzili dla zakupionych usług internetowych, nie były poprawnie skonfigurowane, co skutkowało błędnym przekierowaniem ruchu, a nawet ujawnieniem niektórych informacji o strefie wewnętrznej.  

Analizując źródło ruchu NXDOMAIN w DNS Insights, firmie udało się również zidentyfikować kurs informatyki na Uniwersytecie Columbia jako źródło zwiększonego ruchu w niektórych starszych domenach. To, co mogło wyglądać na atak DDoS, to grupa studentów i profesorów sondujących domenę w ramach standardowego ćwiczenia. 

„Który adres IP jest przyczyną tak wysokich rekordów QPS?” 

Firma doświadczyła okresowych skoków ruchu związanego z zapytaniami, ale nie mogła zidentyfikować pierwotnej przyczyny. Założyli, że był to pewnego rodzaju atak DDoS, ale nie mieli danych na poparcie swojej teorii. 

Przeglądając dane w DNS Insights, okazało się, że za gwałtownymi wzrostami liczby zapytań stoją domeny wewnętrzne, a nie podmioty zewnętrzne. Błędna konfiguracja polegała na kierowaniu użytkowników wewnętrznych do domen przeznaczonych dla klientów zewnętrznych. 

Korzystając z danych przechwyconych przez DNS Insights, zespół był w stanie wykluczyć ataki DDoS jako przyczynę i rozwiązać rzeczywisty problem, naprawiając problem z routingiem wewnętrznym.  

Dane DNS identyfikują przyczyny źródłowe 

We wszystkich tych przypadkach zwiększony ruch zapytań, który zespoły sieciowe początkowo przypisywały atakowi DDoS, okazał się błędną konfiguracją lub wewnętrznym błędem routingu. Dopiero po głębszej analizie danych DNS zespoły sieciowe były w stanie wskazać pierwotną przyczynę kłopotliwych wzorców ruchu i nietypowej aktywności. 

W NS1 zawsze wiedzieliśmy, że DNS to kluczowa dźwignia, która pomaga zespołom sieciowym poprawiać wydajność, zwiększać odporność i obniżać koszty operacyjne. Szczegółowe, szczegółowe dane pochodzące z usługi DNS Insights to cenny przewodnik, który łączy wzorce ruchu z głównymi przyczynami. Wiele firm udostępnia surowe dzienniki DNS, ale NS1 idzie o krok dalej. DNS Insights przetwarza i analizuje dane za Ciebie, zmniejszając wysiłek i czas potrzebny do rozwiązywania problemów z siecią. 

Dowiedz się więcej o informacjach zawartych w DNS Insights