TRÁFICO DE CONSULTA RAÍZ DNS MÁS MISTERIOSO DE UN GRAN OPERADOR DE NUBE / DNS

Este blog también fue publicado por APNIC.

Con tanto tráfico en Internet global día tras día, no siempre es fácil detectar la irregularidad ocasional. Después de todo, existen numerosas capas de complejidad que entran en el servicio de páginas web, con múltiples compañías, agencias y organizaciones que desempeñan un papel.

Es por eso que cuando algo llama nuestra atención, es importante que las diversas entidades trabajen juntas para explorar la causa y, lo que es más importante, tratar de identificar si se trata de un actor malicioso en el trabajo, una falla en el proceso o tal vez incluso algo completamente intencional.

Eso es lo que ocurrió el año pasado cuando el personal y los contratistas de la Corporación de Internet para la Asignación de Nombres y Números estaban analizando nombres en consultas del Sistema de Nombres de Dominio vistas en el Servidor Raíz Administrado de la ICANN, y el programa de análisis se quedó sin memoria para uno de sus archivos de datos. Después de investigar un poco, encontraron que la causa era una gran cantidad de consultas misteriosas para nombres únicos como f863zvv1xy2qf.surgery, bp639i-3nirf.hiphop, qo35jjk419gfm.net y yyif0aijr21gn.com.

Si bien se trataba de consultas de nombres en dominios de nivel superior existentes, la primera etiqueta consistía en 12 o 13 caracteres de aspecto aleatorio. Después de que ICANN compartiera su descubrimiento con los otros operadores de servidores raíz, Verisign analizó más de cerca para ayudar a comprender la situación.

EXPLORANDO EL MISTERIO

Una de las primeras cosas que notamos fue que todas estas consultas misteriosas eran de tipo NS y provenían de una red de sistema autónomo, AS 15169, asignada a Google LLC. Además, confirmamos que estaba ocurriendo consistentemente para numerosos TLD. (Ver Fig. 1)