Usted es un administrador de red que se ocupa de sus actividades habituales. De repente, estás viendo un gran aumento en el tráfico entrante a tu sitio web, tu aplicación o tu servicio web. Inmediatamente cambias los recursos para hacer frente al patrón cambiante, usando dirección de tráfico automatizada para liberar carga de servidores sobrecargados. Una vez pasado el peligro inmediato, su jefe pregunta: ¿qué acaba de pasar? 

Lo es realmente ¿Un ataque DDoS? 

Es tentador dar una falsa alarma en estas situaciones. Los ataques de denegación de servicio distribuido (DDoS) son un problema cada vez más común, tanto por el número como por la escala de los ataques. aumentando significativamente cada año. Muchos administradores de red dirán "debe haber sido un ataque DDoS de algún tipo" cuando hay un aumento notable en el tráfico, incluso si no tienen ninguna evidencia directa que respalde la afirmación. 

Probar o refutar que ocurrió un ataque DDoS puede ser un tema espinoso para los administradores de red e incluso para los equipos de seguridad.  

Si está utilizando una oferta básica de Sistema de nombres de dominio (DNS) de registrador preempaquetada, probablemente no tenga acceso a los datos de tráfico DNS en absoluto. Si estás utilizando un servicio DNS premium, los datos podría estar ahí. La mayoría de los proveedores de DNS autorizados tienen algún tipo de opción de observabilidad. Al mismo tiempo, conseguirlo en el formato correcto (registros sin procesar, integración SIEM, análisis prediseñado) y el nivel correcto de granularidad puede ser un problema.

¿Qué está causando realmente los picos de tráfico DNS? 

Analizamos mucha información de tráfico DNS con Información sobre DNS de IBM® NS1 Connect®, un complemento opcional para DNS gestionado por IBM NS1 Connect.  

DNS Insights captura una amplia gama de puntos de datos directamente de la infraestructura global de NS1 Connect, que luego ponemos a disposición de los clientes a través de paneles prediseñados y fuentes de datos específicas. 

Al revisar estos conjuntos de datos con los clientes, descubrimos que relativamente pocos de los picos en el tráfico general o las respuestas relacionadas con errores como NXDOMAIN, SERVFAIL o REFUSED están relacionados con la actividad de ataques DDoS. La mayoría de los picos de tráfico se deben a una mala configuración. Normalmente, verá códigos de error resultantes de alrededor del 2 al 5 % del total de consultas de DNS. Sin embargo, en algunos casos extremos, hemos visto casos en los que más del 60% del volumen de tráfico de una empresa resulta en una respuesta NXDOMAIN.  

A continuación se muestran algunos ejemplos de lo que hemos visto y oído de los usuarios de DNS Insights: 

"Nuestro propio equipo nos está atacando mediante ataques DDoS" 

Una empresa con más de 90,000 trabajadores remotos estaba experimentando un porcentaje extraordinariamente alto de respuestas de NXDOMAIN. Este era un patrón de larga data, pero estaba envuelto en un misterio ya que el equipo de la red carecía de datos suficientes para descubrir la causa raíz. 

Una vez que profundizaron en los datos recopilados por DNS Insights, quedó claro que las respuestas de NXDOMAIN provenían de las propias zonas de Active Directory de la empresa. El patrón geográfico de las consultas DNS proporcionó una prueba más de que el modelo operativo "seguir el sol" de la empresa se replicó en el patrón de respuestas de NXDOMAIN.  

En un nivel básico, estas configuraciones erróneas estaban afectando el rendimiento y la capacidad de la red. Al profundizar en los datos, también encontraron un problema de seguridad más grave: los registros de Active Directory estaban expuestos a Internet a través de intentos de actualizaciones de DNS dinámico. DNS Insights proporcionó el eslabón perdido que el equipo de red necesitaba para corregir estas entradas y tapar un agujero grave en las defensas de su red. 

“Hace años que quiero investigar estas teorías” 

Una empresa que había adquirido múltiples dominios y propiedades web a lo largo de los años a través de actividades de fusiones y adquisiciones experimentaba habitualmente aumentos notables en el tráfico de NXDOMAIN. Asumieron que se trataba de ataques de diccionario contra dominios moribundos, pero los datos limitados a los que tuvieron acceso no podían confirmar ni negar que ese fuera el caso. 

Con DNS Insights, la compañía finalmente reveló los patrones de tráfico DNS que produjeron resultados tan anómalos. Descubrieron que algunas de las redirecciones que habían implementado para las propiedades web compradas no estaban configuradas correctamente, lo que generaba tráfico mal dirigido e incluso la exposición de cierta información de la zona interna.  

Al observar la fuente del tráfico NXDOMAIN en DNS Insights, la empresa también pudo identificar un curso de informática de la Universidad de Columbia como fuente de tráfico elevado hacia algunos dominios heredados. Lo que pudo haber parecido un ataque DDoS fue un grupo de estudiantes y profesores investigando un dominio como parte de un ejercicio estándar. 

"¿Qué IP ha estado causando esos altos registros de QPS?" 

Una empresa experimentó picos periódicos en el tráfico de consultas pero no pudo identificar la causa raíz. Asumieron que se trataba de algún tipo de ataque DDoS, pero no tenían datos que respaldaran su teoría. 

Al observar los datos de DNS Insights, resultó que los dominios internos, no los actores externos, estaban detrás de estas ráfagas de mayor volumen de consultas. Un error de configuración estaba enrutando a los usuarios internos a dominios destinados a clientes externos. 

Utilizando los datos capturados por DNS Insights, el equipo pudo descartar ataques DDoS como la causa y abordar el problema real corrigiendo el problema de enrutamiento interno.  

Los datos DNS identifican las causas fundamentales 

En todos estos casos, el aumento del tráfico de consultas que los equipos de red inicialmente atribuyeron a un ataque DDoS resultó ser una mala configuración o un error de enrutamiento interno. Sólo después de analizar más profundamente los datos de DNS, los equipos de la red pudieron identificar la causa raíz de los patrones de tráfico desconcertantes y la actividad anómala. 

En NS1, siempre hemos sabido que DNS es una palanca fundamental que ayuda a los equipos de red a mejorar el rendimiento, agregar resiliencia y reducir los costos operativos. Los datos granulares y detallados que provienen de DNS Insights son una guía valiosa que conecta los puntos entre los patrones de tráfico y las causas fundamentales. Muchas empresas proporcionan registros DNS sin procesar, pero NS1 va un paso más allá. DNS Insights procesa y analiza los datos por usted, lo que reduce el esfuerzo y el tiempo necesarios para solucionar problemas de su red. 

Obtenga más información sobre la información contenida en DNS Insights