Ik zoek de houder van een domeinnaam. Waar vind ik die?
Via de Whois kun je de huidige houder van een domeinnaam opzoeken. Om de persoonsgegevens in te zien moet je vanwege de privacygevoelige informatie eerst de gebruikersvoorwaarden van de Whois accepteren. Gegevens van privé personen kunnen ook afgeschermd zijn vanwege de AVG (Algemene verordening gegevensbescherming).
Op de pagina domeinnaam zoeken lees je meer over wat een domeinnaam is, de werking van de Whois en de privacy van persoonsgegevens.
Ik wil mijn domeinnaam verhuizen. Hoe doe ik dat?
Je wilt je domeinnaam verhuizen naar een andere registrar. Vraag dan je verhuistoken op bij je huidige registrar. Lees de verhuisstappen op de pagina domeinnaam verhuizen.
Ik wil mijn contact/adresgegevens aanpassen bij mijn .nl-domeinnaam. Hoe doe ik dat?
Neem contact op met je registrar. Jouw registrar kan de contactgegevens bij je domeinnaam voor je aanpassen. Wij raden je aan het resultaat te controleren via de Whois. Lees meer over het aanpassen van je gegevens bij contactgegevens wijzigen.
Waarom staat mijn domeinnaam in quarantaine?
Wij weten niet wat de reden van de opheffing is. Neem contact op met je registrar. Het voordeel van de quarantaine is dat je altijd de mogelijkheid hebt om een opheffing die je niet had bedoeld te herstellen.
Voorbeeld: In de voorwaarden van je registrar staat dat je elk jaar je abonnement moet verlengen. Dat gebeurt dan niet automatisch. Zo kan het gebeuren dat je domeinnaam wordt opgeheven zonder dat je er om gevraagd hebt.
Ik heb een klacht over mijn provider/registrar. Kan ik daarvoor bij SIDN terecht?
Wanneer je een klacht hebt over of een geschil met je registrar dan zijn er verschillende mogelijkheden om tot een oplossing te komen. Hierover lees je meer op pagina klacht over registrar. SIDN heeft geen formele klachtenprocedure voor het behandelen van een klacht over jouw registrar.
Waaraan moet ik voldoen als registrar?
Wil je zelf direct domeinnamen kunnen registreren bij SIDN voor je klanten of voor je eigen organisatie? Dan kun je .nl-registrar worden. Lees meer over de voorwaarden en de manier waarop je je kunt inschrijven als registrar via de pagina registrar worden.
SIDN Labs werkt samen met NBIP en haar DDoS-wasstraat (NaWas) om de metadata van gefilterde DDoS-aanvallen te analyseren en deze te correleren met DNS-gegevens. Hierdoor verkrijgen we meer inzicht over hoe DDoS-aanvallen in het wild worden uitgevoerd. In aanvulling op deze blog publiceren we een nieuw technisch rapport waarin we de belangrijkste bevindingen uitgebreid delen.
De niet-commerciële Nationale Beheerorganisatie Internet Providers (NBIP) runt al sinds 2014 een DDoS-wasstraat (NaWas) voor haar deelnemers. De deelnemers kunnen daardoor om DDoS-filtering vragen als ze worden aangevallen. De wasstraat maakt gebruik van DDoS-filterapparatuur om aanvallen op de huidige 151 deelnemers te bestrijden.
Om te begrijpen hoe aanvallers te werk gaan, voerden we samen met NBIP een analyse uit op aanvallen die door de wasstraat zijn gefilterd. We analyseerden 22 maanden aan DDoS-metadata en correleerden deze data met DNS-informatie waarover we bij SIDN beschikken. Hierdoor verkregen we meer inzicht in aanvalsmechanismen wat kan resulteren in betere detectiesystemen.
De aanvallen
Tijdens de 22 maanden durende onderzoeksperiode (juli 2017 - mei 2019) filterde NaWas 1.826 aanvallen. De aanvallen richtten zich uitsluitend op IPv4-adressen (576 unieke adressen) binnen 65 Autonome Systemen. Gemiddeld duurden de aanvallen ongeveer 1 uur en waren ze niet heel groot: de gemiddelde aanval had een omvang van 3,9 Gbps en het waargenomen maximum was 79 Gbps. Figuur 1 toont de aanvalstijdserie (elk kruisje vertegenwoordigt het begin van één aanval) en de aanvalspieken in Gbps.
Figuur 1. Aanvallen en pieken.
Nevenschade
NaWas is ingesteld op het filteren van aanvallen op IP-niveau. We verdeelden de lijst van 576 aangevallen IP-adressen waarvan het verkeer tijdens de onderzoeksperiode werd gewassen op basis van het bijbehorende topleveldomein en bepaalden vervolgens hoeveel domeinnamen binnen elk TLD op de IP-adressen werden gehost.
Onderstaande tabel toont het aantal tweedeleveldomeinen dat op de aanvalsdatums binnen elk TLD op de aangevallen IP-adressen werd gehost. De gegevens komen van OpenIntel, een onderzoeksproject waarbij we betrokken zijn en waarvoor dagelijks verschillende DNS-zones worden gecrawld. Uit de OpenIntel-gegevens extraheerden we alle domeinnamen die op elk aangevallen IP-adres werden gehost.
Uit de tabel blijkt dat .nl het grootste aantal domeinen op aangevallen IP-adressen host – wat te verwachten was, aangezien de meeste NaWas-deelnemers uit Nederland komen.
DNS-zone
Tweedeleveldomeinen
IP's
.nl
242.355
226
.com
72.180
178
.net
5.220
100
.org
5.314
94
Andere
6.541
98
Totaal
331.610
576
Tabel 1. Bijkomende schade aan tweedeleveldomeinen op IP's die worden aangevallen. 'Andere' zijn: .at, .ca, .dk, .fi, .ru, .se, .us, gecombineerd.
In totaal werden 330.000 domeinen indirect getroffen door de DDoS-aanvallen, in zoverre dat hun IP-adressen een doelwit waren. Het aantal getroffen domeinnamen is dus veel groter dan het aantal aangevallen IP-adressen door shared hosting. Dit suggereert dat veel domeinen alleen last hadden van DDoS-aanvallen omdat deze gericht waren op andere domeinen die deels dezelfde infrastructuur gebruikten.
DDoSsen detecteren met DNS
242.000 .nl-domeinen waren dus wellicht het doelwit van een DDoS-aanval. Zou het mogelijk zijn om te achterhalen welke domeinen het beoogde doelwit waren en welke domeinen nevenschade?
Om die vraag te beantwoorden, keken we naar DNS-queries die bij de autoritatieve .nl-servers binnenkwamen. Als de beheerder van .nl runnen wij de autoritatieve servers die queries over .nl-domeinnamen beantwoorden. Voor onderzoeksdoeleinden verzamelen we deze queries op ENTRADA, ons opensourceplatform voor DNS-analyse.
Onderstaande figuur toont alle .nl-domeinen die onder vuur kwamen te liggen – zoals aangegeven in de voorgaande tabel. Voor elk domein is het aantal queries op de aanvalsdag uitgezet op de Y-as. Het gemiddelde dagelijkse aantal queries in de week daarvoor is uitgezet op de X-as. De hypothese is dat sommige DDoS-aanvallen mogelijk gepaard gaan met een grote toename in het aantal DNS-queries voor bepaalde domeinen. Stel dat er een grote botnetaanval plaatsvindt bij example.nl dan betekent dit dat het domein vanuit verschillende plekken over de wereld worden opgevraagd. Dit resulteert in de in de toename van het aantal DNS-queries voor dit domein.
Figuur 2. Domeinnamen en gemiddelde dagelijkse zoekopdrachten in de week voor de aanval.
Zoals de grafiek laat zien, voldoen maar een paar domeinen daadwerkelijk aan onze filtercriteria: minstens 500 queries op de aanvalsdag en een toename van minstens 5 keer zoveel queries op de aanvalsdag. Van de 220.000 domeinnamen voldeden er 74 aan onze criteria – wat een idee geeft van hoe DNS kan worden gebruikt om bepaalde DDoS-aanvallen te detecteren.
We beginnen met het analyseren van een aanval gericht op een IP-adres waaraan op de aanvalsdag slechts één .nl-domeinnaam was gekoppeld (dedicated hosting). We plotten een tijdserie van het aantal queries per uur voor dit domein. Voor de aanval was het aantal queries minder dan 200/uur, maar dat aantal stijgt naar bijna 1400/uur wanneer de aanval begint. Het roze gebied geeft aan wanneer NaWas werd ingezet om het verkeer te filteren, wat leidt tot het einde van de aanval.
Figuur 3. Timeseries van inkomende queries voor een .nl-domein met dedicated hosting. Het roze gebied geeft de periode aan waarin de NaWas actief was; het grijze gebied geeft de periode aan waarin de aanval zichtbaar was op de DNS.
In sommige gevallen kunnen we aan de hand van DNS-gegevens ook vaststellen welke van een groep domeinnamen die op een één IP-adres werden gehost het daadwerkelijke doelwit was. Onderstaande figuur toont 6 .nl-domeinnamen die werden gehost op een aangevallen IP. Alleen de domeinnaam helemaal rechts werd geassocieerd met een zeer grote toename van het aantal queries op de aanvalsdag (let op de logschaal op de as). Aangezien alle domeinnamen op hetzelfde IP-adres werden gehost, kunnen we echter aannemen dat de overige 5 domeinnamen, ook al lieten deze geen toename in het queryvolume zien, toch nevenschade hebben geleden door de aanval op het ware doelwit. De nevenschade ontstaat omdat ze delen van hun infrastructuur gemeen hebben met het beoogde domein.
Figuur 4. Aantal queries voor 6 .nl-domeinnamen met shared hosting, waaruit het echte doelwit van een aanval blijkt.
Andere aanvallen lijken echter geraffineerder in elkaar te steken. We zagen aanvallen waarbij een reeks domeinen op hetzelfde IP-adres bestookt werden vanaf dezelfde aanvallende IP-adressen – om detectie te voorkomen, suggereren onze gegevens. Dit wordt geïllustreerd in onderstaande figuur, waarbij elke regel het aantal queries per domeinnaam op één aangevallen IP-adres toont. Merk op dat dezelfde resolvers voor elk domein rond dezelfde tijd queries versturen – wat wijst op een gecoördineerde aanpak.
Figuur 5. Timeseries van queries naar 8 gerichte .nl-domeinen.
Samenvatting
Goedkoop, gemakkelijk en betrekkelijk populair: zo denken aanvallers over DDoSsen. Er is een hele bedrijfstak ontstaan rondom het afslaan van dergelijke aanvallen en wasstraten behoren tot de oplossingen die het meest in trek zijn. Om licht te werpen op de werking van wasstraten, presenteren we het eerste longitudinale onderzoek van een niet-commerciële wasstraat (NaWas) die al enkele jaren actief is.
We laten zien dat de meeste aanvallen niet lang meer duren zodra de wasstraat in actie komt, waarschijnlijk omdat de wasbeurt een aanval minder effectief maakt en daarmee voorkomt dat de aanvaller zijn doel bereikt. De aanvallen die we waarnemen, zijn niet zo groot als de terabit-aanvallen die de afgelopen jaren zo nu en dan voorbijkwamen. Dat neemt niet weg dat ook DDoSsen op gigabit-niveau een goede kans maken om webservers te overspoelen en bepaalde koppelingen tussen domeinen te verstoren.
We trianguleren de DDoS-metadata met twee andere datasets, waardoor we een schatting kunnen maken van de nevenschade die door de aanvallen wordt veroorzaakt. Voor de geanalyseerde datasets laten we zien dat het aantal domeinen dat de dupe wordt van een aanval zonder het hoofddoel ervan te zijn in kwadratische verhouding staat tot het aantal aangevallen IP-adressen – wat aangeeft wat de nevenschade van dergelijke aanvallen is.
Aan de hand van de resultaten van dit onderzoek kunnen we vroegtijdige waarschuwingssystemen ontwerpen voor de detectie van DDoS-aanvallen op basis van DNS-gegevens.
