Você é um administrador de rede cuidando de seus negócios normais. De repente, você está vendo um grande aumento no tráfego de entrada para seu site, aplicativo ou serviço web. Você imediatamente transfere recursos para lidar com o padrão de mudança, usando direção de tráfego automatizada para eliminar a carga de servidores sobrecarregados. Depois que o perigo imediato passa, seu chefe pergunta: o que aconteceu? 

É isso clientes um ataque DDoS? 

É tentador dar um alarme falso nessas situações. Os ataques distribuídos de negação de serviço (DDoS) são um problema cada vez mais comum, com o número e a escala dos ataques aumentando significativamente a cada ano. Muitos administradores de rede dirão “deve ter sido algum tipo de ataque DDoS” quando há um aumento notável no tráfego, mesmo que não tenham nenhuma evidência direta para apoiar a afirmação. 

Provar ou refutar que ocorreu um ataque DDoS pode ser uma questão espinhosa para administradores de rede e até mesmo para equipes de segurança.  

Se você estiver usando uma oferta básica pré-empacotada de Sistema de Nomes de Domínio (DNS) de registrador, provavelmente não terá acesso aos dados de tráfego DNS. Se você estiver usando um serviço DNS premium, os dados poder estar lá. A maioria dos provedores de DNS autorizados tem algum tipo de opção de observabilidade. Ao mesmo tempo, obtê-lo no formato correto (logs brutos, integração SIEM, análise pré-construída) e no nível certo de granularidade pode ser um problema

O que realmente está causando picos de tráfego DNS 

Analisamos muitas informações de tráfego DNS com Insights de DNS do IBM® NS1 Connect, um complemento opcional para DNS gerenciado do IBM NS1 Connect.  

O DNS Insights captura uma ampla variedade de pontos de dados diretamente da infraestrutura global do NS1 Connect, que então disponibilizamos aos clientes por meio de painéis pré-construídos e feeds de dados direcionados. 

Ao analisarmos esses conjuntos de dados com os clientes, descobrimos que relativamente poucos picos no tráfego geral ou respostas relacionadas a erros, como NXDOMAIN, SERVFAIL ou REFUSED, estão relacionados à atividade de ataque DDoS. A maioria dos picos de tráfego é causada por configuração incorreta. Normalmente, você verá códigos de erro resultantes de cerca de 2 a 5% do total de consultas DNS. No entanto, em alguns casos extremos, vimos casos em que mais de 60% do volume de tráfego de uma empresa resulta numa resposta NXDOMAIN.  

Aqui estão alguns exemplos do que vimos e ouvimos dos usuários do DNS Insights: 

“Estamos sendo atacados por DDoS por nossos próprios equipamentos” 

Uma empresa com mais de 90,000 trabalhadores remotos estava obtendo uma porcentagem extraordinariamente alta de respostas NXDOMAIN. Este era um padrão antigo, mas envolto em mistério, pois a equipe da rede não tinha dados suficientes para descobrir a causa raiz. 

Depois que eles se aprofundaram nos dados coletados pelo DNS Insights, ficou claro que as respostas do NXDOMAIN vinham das próprias zonas do Active Directory da empresa. O padrão geográfico de consultas DNS forneceu mais uma prova de que o modelo operacional “seguir o sol” da empresa foi replicado no padrão de respostas NXDOMAIN.  

Basicamente, essas configurações incorretas estavam afetando o desempenho e a capacidade da rede. Investigando mais detalhadamente os dados, eles também encontraram um problema de segurança mais sério: os registros do Active Directory estavam sendo expostos à Internet por meio de tentativas de atualizações de DNS dinâmico. O DNS Insights forneceu o elo que faltava que a equipe de rede precisava para corrigir essas entradas e tapar uma falha séria em suas defesas de rede. 

“Há anos que desejo investigar essas teorias” 

Uma empresa que adquiriu vários domínios e propriedades da web ao longo dos anos por meio de atividades de fusões e aquisições viu rotineiramente aumentos notáveis ​​no tráfego NXDOMAIN. Eles presumiram que se tratava de ataques de dicionário contra domínios moribundos, mas os dados limitados aos quais tinham acesso não podiam confirmar nem negar que fosse esse o caso. 

Com o DNS Insights, a empresa finalmente abriu a cortina sobre os padrões de tráfego DNS que produziam resultados tão anômalos. Eles descobriram que alguns dos redirecionamentos implementados para propriedades da web compradas não estavam configurados corretamente, resultando em tráfego mal direcionado e até mesmo na exposição de algumas informações da zona interna.  

Ao observar a origem do tráfego NXDOMAIN no DNS Insights, a empresa também conseguiu identificar um curso de ciência da computação da Universidade de Columbia como a origem do tráfego elevado para alguns domínios legados. O que pode ter parecido um ataque DDoS foi um grupo de estudantes e professores investigando um domínio como parte de um exercício padrão. 

“Qual IP está causando esses altos registros de QPS?” 

Uma empresa experimentou picos periódicos no tráfego de consultas, mas não conseguiu identificar a causa raiz. Eles presumiram que era algum tipo de ataque DDoS, mas não tinham dados para apoiar sua teoria. 

Observando os dados do DNS Insights, descobriu-se que os domínios internos (e não os atores externos) estavam por trás dessas explosões de aumento no volume de consultas. Uma configuração incorreta estava direcionando usuários internos para domínios destinados a clientes externos. 

Usando os dados capturados pelo DNS Insights, a equipe conseguiu descartar ataques DDoS como causa e resolver o problema real corrigindo o problema de roteamento interno.  

Os dados DNS identificam as causas principais 

Em todos esses casos, o aumento do tráfego de consultas que as equipes de rede atribuíram inicialmente a um ataque DDoS acabou sendo uma configuração incorreta ou um erro de roteamento interno. Somente depois de analisar mais profundamente os dados do DNS é que as equipes de rede conseguiram identificar a causa raiz dos padrões de tráfego desconcertantes e da atividade anômala. 

Na NS1, sempre soubemos que o DNS é uma alavanca crítica que ajuda as equipes de rede a melhorar o desempenho, aumentar a resiliência e reduzir os custos operacionais. Os dados granulares e detalhados provenientes do DNS Insights são um guia valioso que conecta os pontos entre os padrões de tráfego e as causas principais. Muitas empresas fornecem logs DNS brutos, mas a NS1 está dando um passo adiante. O DNS Insights processa e analisa dados para você, reduzindo o esforço e o tempo necessários para solucionar problemas de sua rede. 

Saiba mais sobre as informações contidas no DNS Insights