Analisando queries de transações DNS para otimizar e proteger a operação de TI

Veja como explorar requisições de nomes de domínio feitas através servidores DNS, e entender melhor seus usuários.

Queries de transações DNS carregam diversos campos que podem fornecer respostas sobre operações de TI, como quais são os recursos mais demandados pelos usuários, por exemplo.

Soluções de Wire Data Analytics, como o Zerum Valk, capturam o tráfego DNS, permitindo a análise dos seus metadados em tempo real.

Queries DNS mais executadas com sucesso

Para iniciar a análise de transações DNS com Wire Data Analytics, é importante distinguir o escopo dos sistemas. São sistemas acessíveis pela internet que possuem um nome público, como um servidor web, ou são sistemas internos, acessíveis apenas da sua rede, como um servidor SMTP ou SMB?

Com isso em mente, podemos analisar a quantidade de transações DNS realizadas por dia. Cada transação é composta pelo nome requisitado, a resposta associada, IP de origem e dados temporais como tempo total de resolução e tempo de transferência.

Assim é possível descobrir os recursos mais requisitados (utilizados) pelos usuários e desenhar um perfil do uso da rede, encontrar a causa de erros e otimizar a operação.

Lentidões no acesso a sistemas internos podem significar que o balanceamento de carga deve ser melhorado. A escalabilidade da plataforma de e-mails ou do banco de dados pode impactar a experiência dos usuários. Para melhorá-la, o servidor DNS deve incluir os servidores e os endereços na resposta para usar uma estratégia de Round Robin, por exemplo.

Queries mais executadas sem resposta

Algumas requisições DNS podem retornar sem resposta para o domínio requisitado. É comum ocorrerem erros na hora de digitar o endereço de um site.

Mas no caso de uma requisição que provem de um servidor interno, a causa pode ser a configuração do servidor requisitante que não foi atualizada ou mesmo o Resource Record do próprio servidor DNS ou ainda o hostname do serviço a ser resolvido pelo DNS.

Outra possibilidade é a tentativa de acesso a sites bloqueados pelo firewall ou endereços maliciosos, vazar informações ou estabelecer conexões com redes ocultas. Para saber mais, veja este artigo sobre como identificar abusos em DNS.

Em casos como esses, a análise de transações DNS é uma forma de monitorar e assegurar a integridade da operação.

A análise das transações DNS (com ou sem resposta) ajuda a entender o comportamento do seus usuários e servidores. Evidência as tendências no uso das ferramentas de produtividade, a degradação na experiência dos usuários e ainda pode ajudar no monitoramento da segurança do ambiente e na detecção de malware. Basta utilizar a tecnologia certa.

Sobre a Zerum

A Zerum é uma empresa de Data Science líder em inovação que fornece visibilidade e entendimento em tempo real sobre fluxos de dados complexos. Nossos produtos, serviços e tecnologias ajudam grandes organizações a reduzir gargalos operacionais, combater ameaças cibernéticas avançadas, detectar fraudes e manter comunidades seguras.

Para mais informações, entre em contato conosco!