Хосты-однодневки в DNS

    В начале этого года команда Blue Coat Security Labs запустила эксперимент, целью которого было получение статистики о времени жизни DNS-имен. В рамках этого исследования в течении 90 дней было проанализировано более 660 млн. уникальных имен. 470 млн. из них (71%) просуществовали не более 24 часов. Такие узлы были названы «однодневками».

    Создание короткоживущих имен — обычная практика для некоторых Интернет-сервисов, поэтому в присутствии в выборке некоторого количества таких узлов нет ничего необычного. Но 71 процент! Неожиданно, да? Почему их столько? Что это — ошибочные запросы к несуществующим сайтам? Или случайным образом сгенерированые ботами субдомены, используемые для связи с C&C-серверами?


    Примерно 164 млн. однодневок используют в качестве имени узла свой IP-адрес. Из анализа AS, которые анонсируют эти адреса, стало понятно, что большинство из них принадлежит ISP и телеком-компаниям. В оставшихся двух третях собранного пула имен есть какая-то жизнь и вот их как раз интересно рассмотреть детальнее.

    Основной TLD, в котором появляются однодневки — .com. В нем создается около 70% таких имен, что в 2.5 раза больше, чем во всех остальных, вместе взятых. Их географическое распределение примерно соответствует количеству выделенных для страны адресов IPv4. Почти 40% однодневок создается в США и Китае, которые на двоих занимают порядка 44% адресного пространства. Среди аномалий можно выделить Бразилию (1,1% IP и 3,8% однодневок) и Россию, которая не вошла в Top-10 по количеству IP-адресов (1.0% и 2.8% соответственно).

    imageimage
    Авторы исследования не дают пояснения этим аномалиям. Я думаю, что как минимум в части России этот перекос вызван наличием мощных местных Интернет-компаний (Яндекс, Mail.ru, «ВКонтакте») со своей инфраструктурой. С бразильским Интернет-сегментом я плохо знаком, может кто-то в комментариях подскажет?

    Анализ родительских доменов однодневок показывает, насколько широко эта техника используется популярными Интернет-сервисами. Google — настоящий король этого рейтинга, ему принадлежит почти половина обнаруженных однодневок. Большинство оставшихся строчек в списке принадлежат либо компаниям, предоставляющим услуги CDN, либо крупным Интернет-сервисам, использующим собственную инфраструктуру для доставки контента.

    image

    CDN часто используют имена 3-го и более уровней для сохранения данных пользователя — его имени, идентификатора сессии или даже конкретного запроса. После того, как сессия завершается, используемое имя исчезает и больше не используется. Похоже, что именно так рождается большинство однодневок.

    Блоггинговые платформы, такие как Blogspot, Tumblr и Wordpress, скорее всего попали в Top-10 незаслуженно. Причина в том, что большая часть из миллионов размещенных на них блогов имеет спорадическую посещаемость, что сделало их статистически похожими на однодневок.
    Ни один анализ Интернет-активности не может считаться полным без упоминания роли порнографии. Самый популярный (согласно Wikipedia) порносайт в мире попал на седьмую строчку рейтинга.

    Ну а что же malware? Далеко ходить не придется.
    image
    На 12-ое место рейтинга попал домен с непроизносимым именем, на котором размещен C&C-сервер ботнета. За время эксперимента было зафиксировано 1.3 млн. принадлежащих ему имен. И он такой не один. В Top-50 попали еще 20 похожих доменов, что в сумме оставляет за плохими парнями 22% этого рейтинга.

    Как видите, современная DNS-структура Интернет далека от классических представлений. Буду рад, если в комментариях люди, поддерживающие крупные кэширующие DNS (например, из команды Яндекс.DNS или SkyDNS), расскажут, как это отражается на реальных характеристиках сервисов.

    Источник: «One-day Wonders: Here Today, Gone Tomorrow»
    Поделиться публикацией
    Комментарии 16
      +5
      Речь идёт о доменах третьего уровня, ничего странного. Упомянутый Яндекс.DNS предлагает как один из вариантов подтверждения владения доменом добавить специально сгенерированный cname, многие сервисы создают субдомен на основе имени пользователя. Интересно было бы увидеть статистику по доменам второго уровня.
        0
        Раздельной статистики по доменам разного уровня, увы, нет.

        Да, многие предлагают схему подтверждения через создание субдомена, но не думаю, что количество таких доменов могло серьезно повлиять на статистику. Речь ведь о сотнях миллионов уникальных доменов, обнаруженных за 3 месяца.

        P.S.: Кстати, говоря про Яндекс.DNS, я подразумевал не DNS-хостинг от Яндекса, а Яндекс.DNS — публичный рекурсивный DNS-сервис.
        +4
        Какая-то желтизна. У меня при коннекте к vpn серверу этот сервер прописывает внутренний ip адрес клиента в виде %client-name%.my-vpn.domain в DNS запись. И делает это по сто раз на дню. И что из этого?
          0
          В этом случае такая запись появилась бы в ловушке сто раз за день (и много раз больше за 3 месяца) и никак не могла бы считаться однодневкой.
          Но я понял Вашу идею. Думаю, что количество редко подключающихся VPN-пользователей не настолько велико, чтобы дать существенную погрешность в измерениях. В отчете речь идет о сотнях миллионов таких имен.
          +4
          Секрет статьи в *.gstatic.com.
          С появлением звездочки в конфигах BIND9 DNS серверов, домены 3 и более уровней — это область не DNS, а скорее виртуальных хостов WEB сервера.
            +5
            В нем создается около 70% таких доменов, что в 2.5 раза больше, чем во всех остальных, вместе взятых.

            Большое вам человеческое спасибо :)
              +8
              Мне кажется в статье немного некорректно смешано понятия хоста и субдомена. А название так вообще желтое получилось.
                0
                Перечитал еще раз — да, Вы правы в части смешения понятий. Постарался исправить. Заодно и название поправил, хотя тут я с самого начала старался сделать его нейтральным, без желтизны. Наверное, плохо получилось :)
                +1
                Интересно, как много среди всего этого занимает трафик таких странных штук, как DNS-тоннели? Вообще заметно хотя бы немного?
                  0
                  Скорее всего исчезающе мало, так как продукт довольно нишевый и сильно зависит от особенностей предоставления доступа к интернетам. Опять же скорости там совсем никакие. Одно время в Китае находились конторы, пытающиеся продавать такую услугу, но с ними начали активно бороться, чем дело закончилось — не знаю.
                  0
                  А кто-нибудь знает как этот шпионский зоопарк забанить? К сожалению hosts в винде не позволяет использовать маски :( Только свой ДНС поднимать?
                    0
                    Можно воспользоваться сторонними DNS-сервисами и там уже настраивать блокировки. Это если нет желания самому где то на стороне поднимать.
                      +1
                      а что Вы пытаетесь забанить то?
                      Превентивно всё подряд?
                      любое жействие должно быть чем-то обосновано, например аналитикой журналов работы системы/ssh/web/sql/ftp/mail серверов.
                      На основании этого уэе можно генерировать какие-то правила, как в fail2ban, например
                        +1
                        Можно использовать вместо провайдерских DNS публичные рекурсивные DNS-сервисы с фильтрацией C&C-серверов ботнетов. Например, OpenDNS или Яндекс.DNS
                        0
                        Что-то подсказывает мне, что ботнет из России…
                        *.1-tr-18su-ka-8dow-56-oo9-13swx-r-k-ife-0nj-rnq-ihb-dd-p-1-0-z-a.info
                          0
                          Да не, Швеция это:
                          *.1-tr-18su-ka-8dow-56-oo9-13swx-r-k-ife-0nj-rnq-ihb-dd-p-1-0-z-a.info

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое