Normal işinizi sürdüren bir ağ yöneticisisiniz. Aniden web sitenize, uygulamanıza veya web hizmetinize gelen trafikte büyük bir artış görüyorsunuz. Değişen modelle başa çıkmak için kaynakları hemen değiştirirsiniz. otomatik trafik yönlendirme aşırı yüklenmiş sunucuların yükünü hafifletmek için. Acil tehlike geçtikten sonra patronunuz şunu sorar: Az önce ne oldu? 

Öyle mi Gerçekten mi DDoS saldırısı mı? 

Bu durumlarda yanlış alarm vermek cazip gelebilir. Dağıtılmış hizmet reddi (DDoS) saldırıları, saldırıların hem sayısı hem de ölçeği nedeniyle giderek yaygınlaşan bir sorundur her yıl önemli ölçüde artıyor. Pek çok ağ yöneticisi, trafikte gözle görülür bir artış olduğunda, iddiayı destekleyecek doğrudan bir kanıtları olmasa bile "bir tür DDoS saldırısı olmalı" diyecektir. 

Bir DDoS saldırısının gerçekleştiğini kanıtlamak veya çürütmek, ağ yöneticileri ve hatta güvenlik ekipleri için çetrefilli bir sorun olabilir.  

Temel, önceden paketlenmiş bir kayıt şirketi Etki Alanı Adı Sistemi (DNS) teklifini kullanıyorsanız, muhtemelen DNS trafik verilerine hiçbir şekilde erişiminiz yoktur. Premium bir DNS hizmeti kullanıyorsanız veriler olabilir orada ol. Çoğu yetkili DNS sağlayıcısının bir tür gözlemlenebilirlik seçeneği vardır. Aynı zamanda, bunu doğru formatta (ham günlükler, SIEM entegrasyonu, önceden oluşturulmuş analiz) ve doğru düzeyde ayrıntı düzeyine sahip olmak bir sorun olabilir

Aslında DNS trafiğinde ani artışlara neden olan şey nedir? 

Birçok DNS trafik bilgisini analiz ediyoruz IBM® NS1 Connect® DNS Öngörüleri, isteğe bağlı bir eklenti IBM NS1 Connect Yönetilen DNS.  

DNS Insights, doğrudan NS1 Connect'in küresel altyapısından çok çeşitli veri noktalarını yakalar ve daha sonra bunları önceden oluşturulmuş kontrol panelleri ve hedeflenen veri akışları aracılığıyla müşterilerin kullanımına sunarız. 

Bu veri kümelerini müşterilerle birlikte incelediğimizde, genel trafikteki ani artışların veya NXDOMAIN, SERVFAIL veya REFUSED gibi hatayla ilgili yanıtların nispeten azının DDoS saldırı etkinliğiyle ilgili olduğunu gördük. Trafikteki ani artışların çoğu yanlış yapılandırmadan kaynaklanmaktadır. Normalde toplam DNS sorgularının yaklaşık %2-5'inden kaynaklanan hata kodlarını görürsünüz. Ancak bazı ekstrem durumlarda, bir şirketin trafik hacminin %60'ından fazlasının NXDOMAIN yanıtıyla sonuçlandığı örnekler gördük.  

DNS Insights kullanıcılarından gördüğümüz ve duyduğumuz bilgilere birkaç örnek: 

“Kendi ekipmanlarımızla DDoS-ed oluyoruz” 

90,000'den fazla uzaktan çalışanı olan bir şirket, olağanüstü derecede yüksek bir NXDOMAIN yanıt yüzdesiyle karşılaşıyordu. Bu uzun süredir devam eden bir modeldi, ancak ağ ekibinin temel nedeni bulmak için yeterli veriye sahip olmaması nedeniyle gizemini koruyordu. 

DNS Insights tarafından toplanan verileri incelediklerinde NXDOMAIN yanıtlarının şirketin kendi Active Directory bölgelerinden geldiği ortaya çıktı. DNS sorgularının coğrafi modeli, şirketin "güneşi takip et" işletim modelinin NXDOMAIN yanıt modelinde kopyalandığına dair daha fazla kanıt sağladı.  

Temel düzeyde, bu yanlış yapılandırmalar ağ performansını ve kapasitesini etkiliyordu. Verileri daha derinlemesine incelediklerinde daha ciddi bir güvenlik sorunu da buldular: Active Directory kayıtları, Dinamik DNS güncellemeleri yoluyla internete açık hale geliyordu. DNS Insights, ağ ekibinin bu girişleri düzeltmek ve ağ savunmalarında ciddi bir delik açmak için ihtiyaç duyduğu eksik bağlantıyı sağladı. 

“Yıllardır bu teorileri araştırmak istiyordum” 

Yıllar boyunca Birleşme ve Satın Alma faaliyetleri yoluyla birden fazla alan adı ve web mülkü satın alan bir şirket, rutin olarak NXDOMAIN trafiğinde dikkate değer artışlar gördü. Bunların can çekişmekte olan alanlara yönelik sözlük saldırıları olduğunu varsaydılar, ancak erişebildikleri sınırlı veriler durumun böyle olduğunu ne doğrulayabilir ne de inkar edebilirdi. 

Şirket, DNS Insights ile bu tür anormal sonuçlara yol açan DNS trafik kalıplarının üzerindeki perdeyi nihayet geri çekti. Satın alınan web mülkleri için uygulamaya koydukları bazı yönlendirmelerin doğru şekilde yapılandırılmadığını, bunun da trafiğin yanlış yönlendirilmesine ve hatta bazı dahili bölge bilgilerinin açığa çıkmasına neden olduğunu keşfettiler.  

Şirket, DNS Insights'ta NXDOMAIN trafiğinin kaynağına bakarak, bazı eski alanlara yönelik artan trafiğin kaynağı olarak Columbia Üniversitesi'ndeki bir bilgisayar bilimi dersini de tespit edebildi. Bir grup öğrenci ve profesörün standart bir çalışmanın parçası olarak bir alanı incelemesi, DDoS saldırısı gibi görünebilecek bir olaydı. 

"Bu yüksek QPS kayıtlarına hangi IP neden oluyor?" 

Bir şirket, sorgu trafiğinde periyodik ani artışlar yaşadı ancak bunun temel nedenini belirleyemedi. Bunun bir tür DDoS saldırısı olduğunu varsaydılar ancak teorilerini destekleyecek verilere sahip değillerdi. 

DNS Insights'taki verilere bakıldığında, artan sorgu hacmi artışının arkasında harici aktörlerin değil, dahili alanların olduğu ortaya çıktı. Yanlış yapılandırma, dahili kullanıcıları harici müşterilere yönelik etki alanlarına yönlendiriyordu. 

Ekip, DNS Insights tarafından toplanan verileri kullanarak DDoS saldırılarını neden olarak eleyebildi ve dahili yönlendirme sorununu düzelterek asıl sorunu çözebildi.  

DNS verileri temel nedenleri tanımlar 

Tüm bu durumlarda, ağ ekiplerinin başlangıçta bir DDoS saldırısına bağladığı artan sorgu trafiğinin, bir yanlış yapılandırma veya dahili yönlendirme hatası olduğu ortaya çıktı. Ağ ekipleri ancak DNS verilerini daha derinlemesine inceledikten sonra kafa karıştırıcı trafik düzenlerinin ve anormal etkinliklerin temel nedenini belirleyebildi. 

NS1 olarak, DNS'nin ağ ekiplerinin performansı artırmasına, dayanıklılığı artırmasına ve işletme maliyetlerini düşürmesine yardımcı olan kritik bir araç olduğunu her zaman biliyorduk. DNS Insights'tan gelen ayrıntılı, ayrıntılı veriler, trafik düzenleri ile temel nedenler arasındaki noktaları birleştiren değerli bir kılavuzdur. Pek çok şirket ham DNS günlükleri sağlıyor ancak NS1 bunu bir adım daha ileri taşıyor. DNS Insights, verileri sizin için işleyip analiz ederek ağınızdaki sorunları gidermek için gereken çabayı ve zamanı azaltır. 

DNS Öngörüleri'nde yer alan bilgiler hakkında daha fazla bilgi edinin