Saturday, December 27, 2003

Understanding Snort DNS TTL Alerts

While reading a recent Network Computing magazine article, I noticed an interesting discussion of "DNS-based route optimizers." These sounded like cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 products which confused IDS operators four years ago. I read about it in an earlier NWC article.

This December 2003 article states:

"Handling external Web requests... is accomplished by advertising a low DNS TTL of about 10 seconds. This forces cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 end user's DNS server to request an updated IP address every 10 seconds... cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 device will provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 external IP address that will provide cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best path through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network."

The whole idea with DNS-based systems is to trick clients into visiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 server that's "closest" to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m in Internet space. By "closest" I mean cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one offering cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 lowest latency. It's a performance enhancement for visitors.

NWC's graphic does a nice job explaining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 system.

Notice cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mention of "probes." The review mentions ICMP and TCP-based "probes" in its product feature list. NSM analysts might see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se probes and consider cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m suspicious, when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y're normal and harmless.

This made me think of recent alerts I'd seen in Sguil, based on this Snort rule:

alert udp $EXTERNAL_NET 53 -> $HOME_NET any
(msg:"DNS SPOOF query response with TTL of 1 min. and no authority";
content:"|81 80 00 01 00 01 00 00 00 00|";
content:"|c0 0c 00 01 00 01 00 00 00 3c 00 04|";
classtype:bad-unknown; sid:254; rev:3;)

This rule was written to detect intruders responding to a victim's DNS query before cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 legitimate DNS server does. Whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r this is worthwhile is debatable, especially since cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 rule uses cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS TTL of exactly one minute. An intruder who uses 59 or 61 seconds evades this rule.

Here is Ecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365real's look for one of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS responses which triggered this Snort rule. I queried for www.orbitz.com, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS record it returned had a TTL of 1 minute and no authority records. Because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS TTL is so low, www.orbitz.com might be using a DNS optimization scheme like that mentioned in NWC.
Compare that to a response for images.amazon.com, where cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TTL for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 first record is 0, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 second has is 5 hours 32 minutes, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 third is 20 seconds. Amazon.com appears to use Akamai extensively:

Finally, keep those responses in mind when looking at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNS info for a smaller company like Sourcefire that doesn't need to play DNS tricks:

This mini-case study shows how keeping current on Internet infrastructure products helps NSM analysts understand cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir alerts.