প্রতিটি DNS ট্রাফিক স্পাইক DDoS আক্রমণ নয় – IBM ব্লগ

আপনি একজন নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর যে আপনার স্বাভাবিক ব্যবসা নিয়ে যাচ্ছেন। হঠাৎ, আপনি আপনার ওয়েবসাইট, আপনার অ্যাপ্লিকেশন বা আপনার ওয়েব পরিষেবাতে অন্তর্মুখী ট্রাফিকের একটি বিশাল স্পাইক দেখতে পাচ্ছেন৷ পরিবর্তনশীল প্যাটার্নের সাথে মানিয়ে নিতে, ব্যবহার করে আপনি অবিলম্বে সংস্থানগুলিকে চারপাশে স্থানান্তর করুন স্বয়ংক্রিয় ট্রাফিক স্টিয়ারিং অতিরিক্ত চাপযুক্ত সার্ভার থেকে লোড সরাতে। তাৎক্ষণিক বিপদ কেটে যাওয়ার পর, আপনার বস জিজ্ঞেস করেন: কি হয়েছে? 

তাই কি সত্যিই একটি DDoS আক্রমণ? 

এই পরিস্থিতিতে একটি মিথ্যা অ্যালার্ম বাড়াতে লোভনীয়। ডিস্ট্রিবিউটেড ডিনায়েল অফ সার্ভিস (DDoS) আক্রমণ একটি ক্রমবর্ধমান সাধারণ সমস্যা, আক্রমণের সংখ্যা এবং স্কেল উভয়ই প্রতি বছর উল্লেখযোগ্যভাবে বাড়ছে. প্রচুর নেটওয়ার্ক অ্যাডমিনিস্ট্রেটর বলবেন "অবশ্যই কোনো ধরনের DDoS আক্রমণ হয়েছে" যখন ট্র্যাফিকের উল্লেখযোগ্য বৃদ্ধি হয়, এমনকি তাদের কাছে দাবির সমর্থনে কোনো প্রত্যক্ষ প্রমাণ না থাকলেও৷ 

একটি DDoS আক্রমণ ঘটেছে তা প্রমাণ করা বা অপ্রমাণ করা নেটওয়ার্ক প্রশাসক এবং এমনকি নিরাপত্তা দলের জন্য একটি কাঁটা সমস্যা হতে পারে।  

আপনি যদি একটি বেসিক প্রি-প্যাকেজড রেজিস্ট্রার ডোমেন নেম সিস্টেম (DNS) অফার ব্যবহার করেন, তাহলে সম্ভবত আপনার কাছে DNS ট্রাফিক ডেটার অ্যাক্সেস থাকবে না। আপনি যদি একটি প্রিমিয়াম ডিএনএস পরিষেবা ব্যবহার করেন তবে ডেটা হতে পারে সেখানে থেকো. বেশিরভাগ প্রামাণিক DNS প্রদানকারীদের কিছু ধরণের পর্যবেক্ষণের বিকল্প রয়েছে। একই সময়ে, এটি সঠিক বিন্যাসে পাওয়া (কাঁচা লগ, SIEM ইন্টিগ্রেশন, পূর্ব-নির্মিত বিশ্লেষণ) এবং সঠিক স্তরের গ্রানুলারিটি একটি সমস্যা হতে পারে

আসলে কি DNS ট্রাফিক স্পাইক ঘটাচ্ছে 

আমরা প্রচুর DNS ট্রাফিক তথ্য বিশ্লেষণ করি IBM® NS1 Connect® DNS অন্তর্দৃষ্টি, একটি ঐচ্ছিক অ্যাড-অন IBM NS1 Connect পরিচালিত DNS.  

DNS অন্তর্দৃষ্টি NS1 Connect-এর গ্লোবাল অবকাঠামো থেকে সরাসরি ডেটা পয়েন্টের একটি বিস্তৃত পরিসর ক্যাপচার করে, যা আমরা গ্রাহকদের জন্য পূর্ব-নির্মিত ড্যাশবোর্ড এবং লক্ষ্যযুক্ত ডেটা ফিডের মাধ্যমে উপলব্ধ করি। 

আমরা গ্রাহকদের সাথে এই ডেটা সেটগুলি পর্যালোচনা করার সময়, আমরা দেখতে পেয়েছি যে সামগ্রিক ট্র্যাফিক বা ত্রুটি-সম্পর্কিত প্রতিক্রিয়াগুলির মধ্যে তুলনামূলকভাবে কয়েকটি স্পাইক যেমন NXDOMAIN, SERVFAIL বা REFUSED DDoS আক্রমণ কার্যকলাপের সাথে সম্পর্কিত। ট্রাফিকের বেশিরভাগ স্পাইক এর পরিবর্তে ভুল কনফিগারেশনের কারণে হয়। সাধারণত, আপনি মোট DNS প্রশ্নের প্রায় 2-5% এর ফলে ত্রুটি কোড দেখতে পাবেন। যাইহোক, কিছু চরম ক্ষেত্রে, আমরা এমন দৃষ্টান্ত দেখেছি যেখানে একটি কোম্পানির ট্রাফিক ভলিউমের 60% এর বেশি একটি NXDOMAIN প্রতিক্রিয়ায় পরিণত হয়।  

আমরা DNS অন্তর্দৃষ্টি ব্যবহারকারীদের কাছ থেকে যা দেখেছি এবং শুনেছি তার কয়েকটি উদাহরণ এখানে রয়েছে: 

"আমরা আমাদের নিজস্ব সরঞ্জাম দ্বারা DDoS-ed করছি" 

90,000 টিরও বেশি দূরবর্তী কর্মী সহ একটি কোম্পানি NXDOMAIN প্রতিক্রিয়াগুলির একটি অসাধারণ উচ্চ শতাংশের সম্মুখীন হয়েছিল৷ এটি একটি দীর্ঘস্থায়ী প্যাটার্ন ছিল, কিন্তু একটি রহস্যে আচ্ছন্ন ছিল কারণ নেটওয়ার্ক টিমের মূল কারণটি বের করার জন্য পর্যাপ্ত ডেটার অভাব ছিল। 

একবার তারা ডিএনএস ইনসাইটস দ্বারা সংগৃহীত ডেটার সন্ধান করার পরে, এটি স্পষ্ট হয়ে যায় যে NXDOMAIN প্রতিক্রিয়াগুলি কোম্পানির নিজস্ব অ্যাক্টিভ ডিরেক্টরি জোন থেকে আসছে৷ DNS প্রশ্নের ভৌগলিক প্যাটার্ন আরও প্রমাণ দেয় যে কোম্পানির "সূর্য অনুসরণ করুন" অপারেটিং মডেলটি NXDOMAIN প্রতিক্রিয়াগুলির প্যাটার্নে প্রতিলিপি করা হয়েছিল।  

একটি মৌলিক স্তরে, এই ভুল কনফিগারেশনগুলি নেটওয়ার্ক কর্মক্ষমতা এবং ক্ষমতাকে প্রভাবিত করছে। ডেটাতে আরও খনন করে, তারা আরও একটি গুরুতর নিরাপত্তা সমস্যা খুঁজে পেয়েছে: সক্রিয় ডিরেক্টরি রেকর্ডগুলি ডাইনামিক ডিএনএস আপডেটের প্রচেষ্টার মাধ্যমে ইন্টারনেটে উন্মুক্ত করা হচ্ছে। DNS অন্তর্দৃষ্টিগুলি অনুপস্থিত লিঙ্ক সরবরাহ করেছে যেটি নেটওয়ার্ক দলকে এই এন্ট্রিগুলি সংশোধন করতে এবং তাদের নেটওয়ার্ক প্রতিরক্ষায় একটি গুরুতর গর্ত প্লাগ করার জন্য প্রয়োজন৷ 

"আমি বছরের পর বছর ধরে এই তত্ত্বগুলি দেখতে চাই" 

একটি কোম্পানি যে বহু বছর ধরে M&A কার্যকলাপের মাধ্যমে একাধিক ডোমেন এবং ওয়েব বৈশিষ্ট্য অর্জন করেছে নিয়মিতভাবে NXDOMAIN ট্রাফিকের উল্লেখযোগ্য বৃদ্ধি দেখেছে৷ তারা ধরে নিয়েছিল যে এইগুলি মরিবন্ড ডোমেনের বিরুদ্ধে অভিধান আক্রমণ ছিল, কিন্তু তাদের কাছে যে সীমিত ডেটা অ্যাক্সেস ছিল তা নিশ্চিত বা অস্বীকার করতে পারে না যে এটি ছিল। 

DNS অন্তর্দৃষ্টি দিয়ে, কোম্পানি অবশেষে DNS ট্র্যাফিক প্যাটার্নগুলির উপর পর্দা টানছে যা এই ধরনের অস্বাভাবিক ফলাফল তৈরি করেছে। তারা আবিষ্কার করেছে যে কিছু পুনঃনির্দেশ তারা ক্রয় করা ওয়েব বৈশিষ্ট্যগুলির জন্য স্থাপন করেছিল সঠিকভাবে কনফিগার করা হয়নি, যার ফলে ভুল ট্রাফিক এবং এমনকি কিছু অভ্যন্তরীণ অঞ্চলের তথ্য প্রকাশের ফলে।  

DNS Insights-এ NXDOMAIN ট্রাফিকের উৎস দেখে, কোম্পানিটি কিছু লিগ্যাসি ডোমেনে উন্নত ট্রাফিকের উৎস হিসেবে কলম্বিয়া ইউনিভার্সিটি কম্পিউটার সায়েন্স কোর্সকেও চিহ্নিত করতে সক্ষম হয়েছিল। একটি DDoS আক্রমণ বলে মনে হতে পারে তা হল ছাত্র এবং অধ্যাপকদের একটি দল যা একটি আদর্শ অনুশীলনের অংশ হিসাবে একটি ডোমেন অনুসন্ধান করছে। 

"কোন আইপি সেই উচ্চ QPS রেকর্ডের কারণ হচ্ছে?" 

একটি কোম্পানি ক্যোয়ারী ট্র্যাফিকের পর্যায়ক্রমিক স্পাইক অনুভব করেছে কিন্তু মূল কারণ চিহ্নিত করতে পারেনি৷ তারা ধরে নিয়েছিল যে এটি কোনও ধরণের DDoS আক্রমণ ছিল কিন্তু তাদের তত্ত্বকে সমর্থন করার জন্য কোনও ডেটা ছিল না। 

ডিএনএস ইনসাইটসের ডেটার দিকে তাকালে দেখা গেল যে অভ্যন্তরীণ ডোমেনগুলি - বহিরাগত অভিনেতা নয় - এই বর্ধিত ক্যোয়ারী ভলিউমের পিছনে ছিল৷ একটি ভুল কনফিগারেশন বহিরাগত গ্রাহকদের উদ্দেশ্যে অভ্যন্তরীণ ব্যবহারকারীদের ডোমেনে রাউট করছে। 

DNS অন্তর্দৃষ্টি দ্বারা ক্যাপচার করা ডেটা ব্যবহার করে, দলটি DDoS আক্রমণগুলিকে কারণ হিসাবে বাতিল করতে এবং অভ্যন্তরীণ রাউটিং সমস্যাটি সংশোধন করে প্রকৃত সমস্যার সমাধান করতে সক্ষম হয়েছিল।  

DNS ডেটা মূল কারণ চিহ্নিত করে 

এই সমস্ত ক্ষেত্রে, নেটওয়ার্ক দলগুলি প্রাথমিকভাবে একটি DDoS আক্রমণের জন্য দায়ী করা উচ্চতর ক্যোয়ারী ট্র্যাফিক একটি ভুল কনফিগারেশন বা অভ্যন্তরীণ রাউটিং ত্রুটি বলে প্রমাণিত হয়েছিল৷ শুধুমাত্র DNS ডেটার গভীরে খোঁজার পরেই নেটওয়ার্ক দলগুলি বিভ্রান্তিকর ট্র্যাফিক প্যাটার্ন এবং অস্বাভাবিক কার্যকলাপের মূল কারণ চিহ্নিত করতে সক্ষম হয়েছিল। 

NS1-এ, আমরা সবসময় জেনেছি যে DNS হল একটি গুরুত্বপূর্ণ লিভার যা নেটওয়ার্ক দলগুলিকে কর্মক্ষমতা উন্নত করতে, স্থিতিস্থাপকতা যোগ করতে এবং অপারেটিং খরচ কম করতে সাহায্য করে। DNS অন্তর্দৃষ্টি থেকে পাওয়া দানাদার, বিশদ ডেটা একটি মূল্যবান নির্দেশিকা যা ট্র্যাফিক প্যাটার্ন এবং মূল কারণগুলির মধ্যে বিন্দুগুলিকে সংযুক্ত করে। অনেক কোম্পানি কাঁচা DNS লগ প্রদান করে, কিন্তু NS1 এটিকে আরও এক ধাপ এগিয়ে নিয়ে যাচ্ছে। DNS অন্তর্দৃষ্টি আপনার নেটওয়ার্কের সমস্যা সমাধানের জন্য প্রয়োজনীয় প্রচেষ্টা এবং সময় কমিয়ে আপনার জন্য ডেটা প্রক্রিয়া এবং বিশ্লেষণ করে। 

DNS অন্তর্দৃষ্টিতে থাকা তথ্য সম্পর্কে আরও জানুন