Las órdenes de quedarse en casa coinciden con el aumento masivo de DNS


Una variedad de sitios vio hasta siete veces el número de solicitudes de dominio a fines de marzo y principios de abril, lo que sugiere que los atacantes intentaron ataques masivos de denegación de servicio.

Un análisis de las solicitudes del sistema de nombres de dominio (DNS) para 316 sitios principales en cinco industrias muestra un «aumento» masivo en el volumen de tráfico a partir de la última semana de marzo, el momento en que muchos países y estados emitieron órdenes de quedarse en casa debido a la pandemia, y continuando hasta abril, según Farsight Security, un proveedor de inteligencia de DNS.

La compañía, que recopila registros DNS anónimos e indexa las relaciones en esos recursos, investigó los recuentos diarios de la cantidad de veces que una solicitud generó un «mistake», es decir, una solicitud de la dirección de un dominio, como darkreading.com , no estaba presente en el almacén de direcciones del servidor de nombres de dominio. Farsight descubrió que el nivel de fallas aumentó de cuatro a siete veces a fines de marzo y principios de abril, lo que generó un aumento en el volumen de tráfico.

En basic, el aumento del tráfico es algo misterioso, dice Paul Vixie, CEO de Farsight Stability. Una variedad de escenarios podría explicar un aumento en el tráfico de DNS, como una configuración incorrecta o un cambio en el comportamiento cuando las personas comenzaron a trabajar desde casa, pero lo más possible es un ataque masivo de denegación de servicio (DoS), dice.

«No estamos en el negocio de la atribución, pero parece que alguien por ahí estaba interesado en hacer que algunos sitios sean más difíciles de alcanzar», dice Vixie.

Los datos muestran un cambio significativo e inconfundible en lo que está sucediendo en World wide web en cinco industrias, incluidas noticias, servicios de transmisión, viajes y transporte, venta minorista y educación exceptional. El sitio de medios Forbes, por ejemplo, tenía consultas DNS que aumentaron en más de un element de cinco después del 1 de abril, desde un nivel inicial de aproximadamente 61,000 consultas por día. Otros sitios de noticias, como AP News, CNN y Fox Information, mostraron un patrón very similar, al igual que algunos sitios de transporte, como Allegiant Airlines y Delta Airways.

«Habiendo ejecutado los datos, lo que estamos viendo es más tráfico en la mayoría de los casos, y algunos sitios exhiben picos consistentes con ataques DDoS (denegación de servicio distribuida) que explotan esos sitios». el informe dice.

Sin embargo, sin más investigación y datos de fuentes externas, no está claro qué está sucediendo, dice Vixie.

Si bien el escenario más possible es un conjunto de ataques DoS significativos, las características grupales del comportamiento del usuario podrían haber cambiado. O el aumento en el tráfico podría ser el resultado de que los trabajadores abandonen un subconjunto de compañías en las que Farsight puede no tener buena visibilidad y trabajen en redes domésticas en las que la compañía tiene mejores datos. Hay otras posibilidades también, dice Vixie.

«Tengo todo tipo de teorías a medias, pero decidí que, en lugar de esperar hasta que supiéramos qué causó esto, lo expondríamos para que otras personas que pudieran haber visto algo al mismo tiempo pudieran correlacionar con nosotros «, dice.

La tecnología de Farsight Security busca fallos en la memoria caché de DNS, que se producen cuando el nombre de dominio del sitio que un usuario desea visitar no se encuentra en la memoria caché del servidor DNS community. Debido a que la mayoría de los usuarios de World-wide-web visitan un número limitado de sitios, los cachés de DNS ayudan a manejar eficientemente las solicitudes populares.

«Si la consulta del usuario es para un nombre que no se ha visto y almacenado en caché recientemente, el solucionador recursivo debe buscar la información que necesita el usuario», indica el informe. «Eso se llama &#39falta de caché&#39».

La compañía no ve todos los errores de caché en todo el mundo, pero recopila datos en un número lo suficientemente significativo como para encontrar tendencias en los datos.

El informe de 95 páginas incluye trazados de cada sitio cuyas consultas DNS analizó la compañía, con un número significativo que muestra el patrón de pasos. Si bien existen diferencias en términos de la magnitud del cambio, ya que algunas universidades también ven una disminución posterior, creando un patrón de «colina», en common, los patrones en todas las industrias y sitios son bastante consistentes, dice Vixie.

«Creo que esto justifica más explicaciones», dice. «La gente en el mundo de TI debería mirar esto y decir: &#39Huh, me pregunto si esto aparece en mis gráficos de tráfico&#39. Y luego pueden preguntar si hay alguna botnet que esté contribuyendo a este tráfico «.

contenido relacionado

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Periodista de tecnología veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dark Looking at, MIT&#39s Technology Overview, Popular Science y Wired News. Cinco premios para el periodismo, incluyendo Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más thoughts





Enlace a la noticia authentic