Хосты-однодневки в DNS

В начале этого года команда Blue Coat Security Labs запустила эксперимент, целью которого было получение статистики о времени жизни DNS-имен. В рамках этого исследования в течении 90 дней было проанализировано более 660 млн. уникальных имен. 470 млн. из них (71%) просуществовали не более 24 часов. Такие узлы были названы «однодневками».

Создание короткоживущих имен — обычная практика для некоторых Интернет-сервисов, поэтому в присутствии в выборке некоторого количества таких узлов нет ничего необычного. Но 71 процент! Неожиданно, да? Почему их столько? Что это — ошибочные запросы к несуществующим сайтам? Или случайным образом сгенерированые ботами субдомены, используемые для связи с C&C-серверами?

Примерно 164 млн. однодневок используют в качестве имени узла свой IP-адрес. Из анализа AS, которые анонсируют эти адреса, стало понятно, что большинство из них принадлежит ISP и телеком-компаниям. В оставшихся двух третях собранного пула имен есть какая-то жизнь и вот их как раз интересно рассмотреть детальнее.

Основной TLD, в котором появляются однодневки — .com. В нем создается около 70% таких имен, что в 2.5 раза больше, чем во всех остальных, вместе взятых. Их географическое распределение примерно соответствует количеству выделенных для страны адресов IPv4. Почти 40% однодневок создается в США и Китае, которые на двоих занимают порядка 44% адресного пространства. Среди аномалий можно выделить Бразилию (1,1% IP и 3,8% однодневок) и Россию, которая не вошла в Top-10 по количеству IP-адресов (1.0% и 2.8% соответственно).

Авторы исследования не дают пояснения этим аномалиям. Я думаю, что как минимум в части России этот перекос вызван наличием мощных местных Интернет-компаний (Яндекс, Mail.ru, «ВКонтакте») со своей инфраструктурой. С бразильским Интернет-сегментом я плохо знаком, может кто-то в комментариях подскажет?

Анализ родительских доменов однодневок показывает, насколько широко эта техника используется популярными Интернет-сервисами. Google — настоящий король этого рейтинга, ему принадлежит почти половина обнаруженных однодневок. Большинство оставшихся строчек в списке принадлежат либо компаниям, предоставляющим услуги CDN, либо крупным Интернет-сервисам, использующим собственную инфраструктуру для доставки контента.

CDN часто используют имена 3-го и более уровней для сохранения данных пользователя — его имени, идентификатора сессии или даже конкретного запроса. После того, как сессия завершается, используемое имя исчезает и больше не используется. Похоже, что именно так рождается большинство однодневок.

Блоггинговые платформы, такие как Blogspot, Tumblr и WordPress, скорее всего попали в Top-10 незаслуженно. Причина в том, что большая часть из миллионов размещенных на них блогов имеет спорадическую посещаемость, что сделало их статистически похожими на однодневок.

Ни один анализ Интернет-активности не может считаться полным без упоминания роли порнографии. Самый популярный (согласно Wikipedia ^[1]) порносайт в мире попал на седьмую строчку рейтинга.

Ну а что же malware? Далеко ходить не придется.

На 12-ое место рейтинга попал домен с непроизносимым именем, на котором размещен C&C-сервер ботнета. За время эксперимента было зафиксировано 1.3 млн. принадлежащих ему имен. И он такой не один. В Top-50 попали еще 20 похожих доменов, что в сумме оставляет за плохими парнями 22% этого рейтинга.

Как видите, современная DNS-структура Интернет далека от классических представлений. Буду рад, если в комментариях люди, поддерживающие крупные кэширующие DNS (например, из команды Яндекс.DNS или SkyDNS), расскажут, как это отражается на реальных характеристиках сервисов.

Источник: «One-day Wonders: Here Today, Gone Tomorrow» ^[2]

Автор: kukumumu

Источник ^[3]