Olet verkonvalvoja, joka hoitaa normaalia liiketoimintaasi. Yhtäkkiä näet valtavan piikin saapuvassa liikenteessä verkkosivustollesi, sovellukseesi tai verkkopalveluusi. Siirrät välittömästi resursseja ympärilleen selviytyäksesi muuttuvasta kuviosta käyttämällä automaattinen liikenteenohjaus kuormituksen poistamiseksi ylikuormitetuilta palvelimilta. Kun välitön vaara on ohi, pomosi kysyy: mitä juuri tapahtui?
Onko se ihan oikeesti DDoS-hyökkäys?
Näissä tilanteissa on houkuttelevaa antaa väärä hälytys. Hajautetut palvelunestohyökkäykset (DDoS) ovat yhä yleisempi ongelma sekä hyökkäysten lukumäärän että laajuuden vuoksi. kasvaa merkittävästi joka vuosi. Monet verkon ylläpitäjät sanovat "on täytynyt olla jonkinlainen DDoS-hyökkäys", kun liikenne on lisääntynyt huomattavasti, vaikka heillä ei olisikaan suoria todisteita väitteen tueksi.
DDoS-hyökkäyksen tapahtuneen todistaminen tai kiistäminen voi olla hankala ongelma verkonvalvojille ja jopa tietoturvatiimeille.
Jos käytät valmiiksi pakattua DNS (Domain Name System) -rekisteröintipalvelun perustarjousta, sinulla ei todennäköisesti ole pääsyä DNS-liikennetietoihin ollenkaan. Jos käytät premium-DNS-palvelua, tiedot ehkä ole siellä. Useimmilla arvovaltaisilla DNS-palveluntarjoajilla on jonkinlainen havainnointivaihtoehto. Samanaikaisesti sen saaminen oikeaan muotoon (raakalokit, SIEM-integrointi, valmiiksi rakennettu analyysi) ja oikealla tarkkuudella voi olla ongelma.
Mikä oikeastaan aiheuttaa DNS-liikenteen piikkejä
Analysoimme paljon DNS-liikennetietoja IBM® NS1 Connect® DNS Insights, valinnainen lisäosa IBM NS1 Connect Managed DNS.
DNS Insights kaappaa laajan valikoiman datapisteitä suoraan NS1 Connectin maailmanlaajuisesta infrastruktuurista, jonka sitten tarjoamme asiakkaiden saataville valmiiden kojetaulujen ja kohdistettujen tietosyötteiden kautta.
Kun tarkastelimme näitä tietojoukkoja asiakkaiden kanssa, havaitsimme, että suhteellisen harvat yleisen liikenteen piikit tai virheisiin liittyvät vastaukset, kuten NXDOMAIN, SERVFAIL tai REFUSED, liittyvät DDoS-hyökkäystoimintaan. Useimmat liikenteen piikit johtuvat sen sijaan virheellisistä määrityksistä. Normaalisti näet virhekoodeja, jotka johtuvat noin 2–5 prosentista kaikista DNS-kyselyistä. Joissakin ääritapauksissa olemme kuitenkin nähneet tapauksia, joissa yli 60 % yrityksen liikenteestä johtaa NXDOMAIN-vastaukseen.
Tässä on muutamia esimerkkejä siitä, mitä olemme nähneet ja kuulleet DNS Insights -käyttäjiltä:
"Meidät DDoS-edetaan omilla laitteillamme"
Yli 90,000 XNUMX etätyöntekijää työllistävä yritys sai poikkeuksellisen suuren prosenttiosuuden NXDOMAIN-vastauksista. Tämä oli pitkäaikainen malli, mutta sitä varjosti mysteeri, koska verkkotiimillä ei ollut riittävästi tietoa perimmäisen syyn selvittämiseksi.
Kun he tutustuivat DNS Insightsin keräämiin tietoihin, kävi selväksi, että NXDOMAIN-vastaukset tulivat yrityksen omista Active Directory -vyöhykkeistä. DNS-kyselyiden maantieteellinen malli osoitti lisätodisteen siitä, että yrityksen "seuraa aurinkoa" -toimintamalli toistettiin NXDOMAIN-vastausten mallissa.
Perustasolla nämä virheelliset määritykset vaikuttivat verkon suorituskykyyn ja kapasiteettiin. Kaivattuaan tarkemmin dataan, he löysivät myös vakavamman tietoturvaongelman: Active Directory -tietueet joutuivat Internetiin dynaamisten DNS-päivitysyritysten kautta. DNS Insights tarjosi puuttuvan linkin, jota verkkotiimi tarvitsi korjatakseen nämä merkinnät ja tukatakseen vakavan aukon verkon puolustukseen.
"Olen halunnut tutkia näitä teorioita vuosia"
Yritys, joka oli hankkinut useita verkkotunnuksia ja verkko-omaisuuksia vuosien aikana M&A-toiminnan kautta, näki rutiininomaisesti NXDOMAIN-liikenteen huomattavaa kasvua. He olettivat, että nämä olivat sanakirjahyökkäyksiä kuolevaisia verkkotunnuksia vastaan, mutta rajallinen tieto, johon heillä oli pääsy, ei voinut vahvistaa tai kiistää, että näin oli.
DNS Insightsin avulla yritys veti lopulta verhon taakse DNS-liikennemalleilta, jotka tuottivat tällaisia poikkeavia tuloksia. He havaitsivat, että joitain uudelleenohjauksia, joita he olivat ottaneet käyttöön ostetuille verkko-omaisuuksille, ei ollut määritetty oikein, mikä johti väärin suunnattuun liikenteen ja jopa joidenkin sisäisten vyöhyketietojen paljastukseen.
Tarkastellessaan NXDOMAIN-liikenteen lähdettä DNS Insightsissa, yritys pystyi myös tunnistamaan Columbian yliopiston tietojenkäsittelytieteen kurssin joidenkin vanhojen verkkotunnusten lisääntyneen liikenteen lähteeksi. Se, mikä saattoi vaikuttaa DDoS-hyökkäykseltä, oli ryhmä opiskelijoita ja professoreita, jotka tutkivat verkkotunnusta osana normaalia harjoitusta.
"Mikä IP on aiheuttanut nuo korkeat QPS-ennätykset?"
Yritys koki ajoittain kyselyliikenteen piikkejä, mutta ei pystynyt tunnistamaan perimmäistä syytä. He olettivat sen olevan jonkinlainen DDoS-hyökkäys, mutta heillä ei ollut teoriaansa tukevia tietoja.
DNS Insightsin tietoja tarkasteltaessa kävi ilmi, että sisäiset toimialueet – eivät ulkoiset toimijat – olivat näiden lisääntyneen kyselymäärän purkausten takana. Virheellinen määritys reititti sisäiset käyttäjät ulkoisille asiakkaille tarkoitettuihin verkkotunnuksiin.
DNS Insightsin keräämien tietojen avulla tiimi pystyi sulkemaan pois DDoS-hyökkäykset syynä ja ratkaisemaan todellisen ongelman korjaamalla sisäisen reititysongelman.
DNS-tiedot tunnistavat perimmäiset syyt
Kaikissa näissä tapauksissa lisääntynyt kyselyliikenne, jonka verkkotiimit alun perin katsoivat DDoS-hyökkäykseksi, osoittautui konfiguraatiovirheeksi tai sisäiseksi reititysvirheeksi. Vasta tarkasteltuaan tarkemmin DNS-tietoja verkkotiimit pystyivät paikantamaan hämmentävien liikennemallien ja poikkeavien toimintojen perimmäisen syyn.
NS1:ssä olemme aina tienneet, että DNS on kriittinen vipu, joka auttaa verkkotiimejä parantamaan suorituskykyä, lisäämään joustavuutta ja alentamaan käyttökustannuksia. DNS Insightsista tulevat yksityiskohtaiset ja yksityiskohtaiset tiedot ovat arvokas opas, joka yhdistää liikennemallien ja perimmäisten syiden väliset pisteet. Monet yritykset tarjoavat raaka DNS-lokeja, mutta NS1 vie sen askeleen pidemmälle. DNS Insights käsittelee ja analysoi tietoja puolestasi, mikä vähentää verkon vianmääritykseen tarvittavaa vaivaa ja aikaa.
Lue lisää DNS Insightsin sisältämistä tiedoista
Oliko tästä artikkelista hyötyä?
KylläEi
Lisää kyberturvallisuudesta
IBM:n uutiskirjeet
Tilaa uutiskirjeemme ja aihepäivityksiämme, jotka tarjoavat viimeisimmän ajatusjohtajuuden ja oivalluksia nousevista trendeistä.
Tilaa nyt Lisää uutiskirjeitä
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
- PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
- PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
- PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
- Lähde: https://www.ibm.com/blog/not-every-dns-traffic-spike-is-a-ddos-attack/