Inte varje DNS-trafikökning är en DDoS-attack – IBM Blog

Du är en nätverksadministratör som sköter din vanliga verksamhet. Plötsligt ser du en enorm ökning av inkommande trafik till din webbplats, din applikation eller din webbtjänst. Du flyttar omedelbart runt resurser för att klara av det förändrade mönstret, med hjälp av automatiserad trafikstyrning för att ta bort belastningen från överbelastade servrar. Efter att den omedelbara faran har passerat, frågar din chef: vad hände just? 

Är det verkligen en DDoS-attack? 

Det är frestande att slå falskt larm i dessa situationer. DDoS-attacker (Distributed Denial of Service) är ett allt vanligare problem, med både antalet och omfattningen av attacker stiger markant varje år. Många nätverksadministratörer kommer att säga "måste ha varit en DDoS-attack av något slag" när det finns en märkbar ökning av trafiken, även om de inte har några direkta bevis som stödjer påståendet. 

Att bevisa eller motbevisa att en DDoS-attack inträffade kan vara en svår fråga för nätverksadministratörer och till och med säkerhetsteam.  

Om du använder ett grundläggande färdigpaketerat registrar Domain Name System (DNS)-erbjudande har du förmodligen inte tillgång till DNS-trafikdata alls. Om du använder en premium DNS-tjänst, data kanske var där. De flesta auktoritativa DNS-leverantörer har någon form av observerbarhetsalternativ. Samtidigt kan det vara ett problem att få den i rätt format (råloggar, SIEM-integration, förbyggd analys) och rätt granularitet

Vad är det som faktiskt orsakar DNS-trafikstoppar 

Vi analyserar mycket DNS-trafikinformation med IBM® NS1 Connect® DNS Insights, ett valfritt tillägg till IBM NS1 Connect Managed DNS.  

DNS Insights fångar ett brett utbud av datapunkter direkt från NS1 Connects globala infrastruktur, som vi sedan gör tillgängliga för kunderna genom förbyggda dashboards och riktade dataflöden. 

När vi granskar dessa datamängder med kunder fann vi att relativt få av topparna i den totala trafiken eller felrelaterade svar som NXDOMAIN, SERVFAIL eller REFUSED är relaterade till DDoS-attackaktivitet. De flesta toppar i trafiken orsakas istället av felkonfiguration. Normalt ser du felkoder som härrör från cirka 2-5 % av det totala antalet DNS-frågor. I vissa extrema fall har vi dock sett fall där över 60 % av ett företags trafikvolym resulterar i ett NXDOMAIN-svar.  

Här är några exempel på vad vi har sett och hört från DNS Insights-användare: 

"Vi blir DDoS-ed av vår egen utrustning" 

Ett företag med över 90,000 XNUMX distansarbetare upplevde en extraordinärt hög andel NXDOMAIN-svar. Detta var ett långvarigt mönster, men ett höljt i mystik eftersom nätverksteamet saknade tillräckligt med data för att ta reda på grundorsaken. 

När de väl grävde i data som samlats in av DNS Insights blev det klart att NXDOMAIN-svaren kom från företagets egna Active Directory-zoner. Det geografiska mönstret av DNS-förfrågningar gav ytterligare bevis på att företagets "följ solen"-operativmodellen replikerades i mönstret av NXDOMAIN-svar.  

På en grundläggande nivå påverkade dessa felkonfigurationer nätverkets prestanda och kapacitet. När de grävde vidare i data hittade de också ett allvarligare säkerhetsproblem: Active Directory-poster exponerades för internet genom försök till dynamiska DNS-uppdateringar. DNS Insights gav den saknade länken som nätverksteamet behövde för att korrigera dessa poster och täppa till ett allvarligt hål i deras nätverksförsvar. 

"Jag har velat titta på dessa teorier i flera år" 

Ett företag som hade förvärvat flera domäner och webbegendomar under åren genom M&A-aktivitet såg rutinmässigt anmärkningsvärda ökningar av NXDOMAIN-trafik. De antog att det rörde sig om ordboksattacker mot döende domäner, men den begränsade data de hade tillgång till kunde varken bekräfta eller dementera att så var fallet. 

Med DNS Insights drog företaget äntligen tillbaka gardinen för DNS-trafikmönstren som gav så onormala resultat. De upptäckte att några av de omdirigeringar som de hade infört för köpta webbegendomar inte var korrekt konfigurerade, vilket resulterade i felriktad trafik och till och med exponering av viss intern zoninformation.  

Genom att titta på källan till NXDOMAIN-trafik i DNS Insights kunde företaget också identifiera en datavetenskapskurs från Columbia University som källan till förhöjd trafik till vissa äldre domäner. Det som kan ha verkat vara en DDoS-attack var en grupp studenter och professorer som undersökte en domän som en del av en standardövning. 

"Vilken IP har orsakat de höga QPS-rekorden?" 

Ett företag upplevde periodiska toppar i frågetrafik men kunde inte identifiera grundorsaken. De antog att det var en DDoS-attack av något slag men hade inga data som stödjer deras teori. 

När man tittade på data i DNS Insights visade det sig att interna domäner – inte externa aktörer – låg bakom dessa skurar av ökad frågevolym. En felaktig konfiguration dirigerade interna användare till domäner avsedda för externa kunder. 

Med hjälp av data som fångats av DNS Insights kunde teamet utesluta DDoS-attacker som orsak och åtgärda det faktiska problemet genom att korrigera det interna routingproblemet.  

DNS-data identifierar rotorsaker 

I alla dessa fall visade sig den ökade frågetrafiken som nätverksteam initialt tillskrev en DDoS-attack vara en felaktig konfiguration eller ett internt routingfel. Först efter att ha tittat djupare på DNS-data kunde nätverksteamen peka ut grundorsaken till förbryllande trafikmönster och onormal aktivitet. 

På NS1 har vi alltid vetat att DNS är en kritisk hävstång som hjälper nätverksteam att förbättra prestanda, öka motståndskraften och sänka driftskostnaderna. Den granulära, detaljerade data som kommer från DNS Insights är en värdefull guide som kopplar ihop punkterna mellan trafikmönster och grundorsaker. Många företag tillhandahåller råa DNS-loggar, men NS1 tar det ett steg längre. DNS Insights bearbetar och analyserar data åt dig, vilket minskar ansträngningen och tiden som krävs för att felsöka ditt nätverk. 

Läs mer om informationen i DNS Insights