Bạn là quản trị viên mạng đang thực hiện công việc bình thường của mình. Đột nhiên, bạn nhận thấy lưu lượng truy cập vào trang web, ứng dụng hoặc dịch vụ web của bạn tăng đột biến. Bạn ngay lập tức chuyển các nguồn lực xung quanh để đối phó với mô hình thay đổi bằng cách sử dụng chỉ đạo giao thông tự động để loại bỏ tải khỏi các máy chủ quá tải. Sau khi mối nguy hiểm trước mắt đã qua đi, sếp của bạn hỏi: chuyện gì vừa xảy ra vậy? 

Là nó có thật không một cuộc tấn công DDoS? 

Thật dễ để đưa ra cảnh báo sai trong những tình huống này. Các cuộc tấn công từ chối dịch vụ phân tán (DDoS) là một vấn đề ngày càng phổ biến, cả về số lượng và quy mô các cuộc tấn công. tăng đáng kể mỗi năm. Rất nhiều quản trị viên mạng sẽ nói “chắc chắn là một loại tấn công DDoS nào đó” khi lưu lượng truy cập tăng đáng kể, ngay cả khi họ không có bất kỳ bằng chứng trực tiếp nào hỗ trợ cho tuyên bố này. 

Chứng minh hoặc bác bỏ việc một cuộc tấn công DDoS đã xảy ra có thể là một vấn đề hóc búa đối với các quản trị viên mạng và thậm chí cả các nhóm bảo mật.  

Nếu bạn đang sử dụng dịch vụ Hệ thống tên miền (DNS) cơ bản được đóng gói sẵn của nhà đăng ký, có thể bạn không có quyền truy cập vào dữ liệu lưu lượng truy cập DNS. Nếu bạn đang sử dụng dịch vụ DNS cao cấp, dữ liệu Might ở đó. Hầu hết các nhà cung cấp DNS có thẩm quyền đều có một số loại tùy chọn có thể quan sát được. Đồng thời, việc đưa nó vào đúng định dạng (nhật ký thô, tích hợp SIEM, phân tích dựng sẵn) và mức độ chi tiết phù hợp có thể là một vấn đề

Điều gì thực sự khiến lưu lượng truy cập DNS tăng đột biến 

Chúng tôi phân tích nhiều thông tin lưu lượng DNS bằng Thông tin chi tiết về DNS của IBM® NS1 Connect®, một tiện ích bổ sung tùy chọn cho IBM NS1 Connect DNS được quản lý.  

DNS Insights thu thập nhiều điểm dữ liệu trực tiếp từ cơ sở hạ tầng toàn cầu của NS1 Connect, sau đó chúng tôi cung cấp cho khách hàng thông qua bảng điều khiển dựng sẵn và nguồn cấp dữ liệu được nhắm mục tiêu. 

Khi xem xét các tập dữ liệu này với khách hàng, chúng tôi nhận thấy rằng tương đối ít mức tăng đột biến về lưu lượng truy cập tổng thể hoặc các phản hồi liên quan đến lỗi như NXDOMAIN, SERVFAIL hoặc REFUSED có liên quan đến hoạt động tấn công DDoS. Thay vào đó, hầu hết lưu lượng truy cập tăng đột biến là do cấu hình sai. Thông thường, bạn sẽ thấy mã lỗi chiếm khoảng 2-5% tổng số truy vấn DNS. Tuy nhiên, trong một số trường hợp đặc biệt, chúng tôi đã thấy các trường hợp trong đó hơn 60% lưu lượng truy cập của công ty dẫn đến phản hồi NXDOMAIN.  

Dưới đây là một số ví dụ về những gì chúng tôi đã thấy và nghe được từ người dùng DNS Insights: 

“Chúng tôi đang bị tấn công DDoS bởi chính thiết bị của mình” 

Một công ty với hơn 90,000 nhân viên làm việc từ xa đã nhận được tỷ lệ phản hồi NXDOMAIN cực kỳ cao. Đây là một mô hình đã tồn tại từ lâu nhưng vẫn còn là một ẩn số vì nhóm mạng thiếu đủ dữ liệu để tìm ra nguyên nhân gốc rễ. 

Sau khi họ đi sâu vào dữ liệu do DNS Insights thu thập, họ thấy rõ rằng các phản hồi NXDOMAIN đến từ các vùng Active Directory của chính công ty. Mẫu địa lý của các truy vấn DNS cung cấp thêm bằng chứng cho thấy mô hình hoạt động “đi theo mặt trời” của công ty đã được sao chép theo mẫu phản hồi của NXDOMAIN.  

Ở mức độ cơ bản, những cấu hình sai này đã ảnh hưởng đến hiệu suất và dung lượng mạng. Đi sâu hơn vào dữ liệu, họ cũng phát hiện ra một vấn đề bảo mật nghiêm trọng hơn: Các bản ghi Active Directory đã bị lộ trên Internet thông qua các nỗ lực cập nhật DNS động. DNS Insights đã cung cấp liên kết bị thiếu mà nhóm mạng cần để sửa các mục này và tạo ra một lỗ hổng nghiêm trọng trong hệ thống phòng thủ mạng của họ. 

“Tôi đã muốn xem xét những lý thuyết này trong nhiều năm” 

Một công ty đã mua lại nhiều miền và thuộc tính web trong nhiều năm thông qua hoạt động M&A thường xuyên nhận thấy lưu lượng truy cập NXDOMAIN tăng đáng kể. Họ cho rằng đây là những cuộc tấn công từ điển nhằm vào các miền đang hấp hối, nhưng dữ liệu hạn chế mà họ có quyền truy cập không thể xác nhận hay phủ nhận rằng đúng như vậy. 

Với DNS Insights, công ty cuối cùng đã vén bức màn về các mẫu lưu lượng DNS vốn tạo ra kết quả bất thường như vậy. Họ phát hiện ra rằng một số chuyển hướng mà họ áp dụng cho các thuộc tính web đã mua không được định cấu hình chính xác, dẫn đến lưu lượng truy cập bị chuyển hướng sai và thậm chí làm lộ một số thông tin vùng nội bộ.  

Bằng cách xem xét nguồn lưu lượng truy cập NXDOMAIN trong DNS Insights, công ty cũng có thể xác định khóa học khoa học máy tính của Đại học Columbia là nguồn lưu lượng truy cập tăng cao tới một số miền cũ. Điều có vẻ giống một cuộc tấn công DDoS là một nhóm sinh viên và giáo sư đang thăm dò một miền như một phần của bài tập tiêu chuẩn. 

“IP nào đã gây ra những kỷ lục QPS cao đó?” 

Một công ty gặp phải tình trạng lưu lượng truy vấn tăng đột biến định kỳ nhưng không thể xác định được nguyên nhân gốc rễ. Họ cho rằng đó là một cuộc tấn công DDoS nào đó nhưng không có dữ liệu nào chứng minh giả thuyết của họ. 

Khi xem xét dữ liệu trong DNS Insights, hóa ra các miền nội bộ—chứ không phải tác nhân bên ngoài—đứng sau sự bùng nổ về khối lượng truy vấn này. Cấu hình sai đang định tuyến người dùng nội bộ tới các miền dành cho khách hàng bên ngoài. 

Bằng cách sử dụng dữ liệu do DNS Insights thu thập, nhóm có thể loại trừ nguyên nhân gây ra các cuộc tấn công DDoS và giải quyết vấn đề thực tế bằng cách khắc phục sự cố định tuyến nội bộ.  

Dữ liệu DNS xác định nguyên nhân gốc rễ 

Trong tất cả các trường hợp này, lưu lượng truy vấn tăng cao mà các nhóm mạng ban đầu cho là do một cuộc tấn công DDoS hóa ra là do cấu hình sai hoặc lỗi định tuyến nội bộ. Chỉ sau khi xem xét sâu hơn về dữ liệu DNS, các nhóm mạng mới có thể xác định chính xác nguyên nhân gốc rễ gây ra các mô hình lưu lượng truy cập phức tạp và hoạt động bất thường. 

Tại NS1, chúng tôi luôn biết rằng DNS là đòn bẩy quan trọng giúp các nhóm mạng cải thiện hiệu suất, tăng khả năng phục hồi và giảm chi phí vận hành. Dữ liệu chi tiết, chi tiết đến từ DNS Insights là hướng dẫn có giá trị kết nối các điểm giữa mẫu lưu lượng truy cập và nguyên nhân gốc rễ. Rất nhiều công ty cung cấp nhật ký DNS thô, nhưng NS1 đang tiến một bước xa hơn. DNS Insights xử lý và phân tích dữ liệu cho bạn, giảm công sức và thời gian cần thiết để khắc phục sự cố mạng của bạn. 

Tìm hiểu thêm về thông tin có trong Thông tin chi tiết về DNS