ESCU Alert - Excessive DNS Failures Analysis

چرا این هشدار صادر می‌شود؟

این قانون زمانی فعال می‌شود که یک سیستم در شبکه تعداد زیادی درخواست DNS ارسال کند که پاسخ موفقیت‌آمیز دریافت نمی‌کنند (معمولاً پاسخ NXDOMAIN یا "دامنه وجود ندارد"). این قانون بر اساس عبور از یک آستانه (Threshold) مشخص در یک بازه زمانی کوتاه عمل می‌کند.

Alert Trigger: Count of DNS Failures > 50
Error Code: NXDOMAIN (3) or SERVFAIL (2)
Goal: Detect DGA, Beaconing, or Scanning

در حالت عادی، کاربران ممکن است گهگاهی آدرس اشتباه تایپ کنند، اما تولید هزاران خطا نشان‌دهنده فعالیت خودکار (Machine generated) است.

دسته‌بندی سناریوهای مشکوک

سناریوهای پرخطر (High Risk)

تکنیک DGA: بدافزارها برای پیدا کردن سرور فرماندهی (C2)، هزاران دامنه تصادفی تولید می‌کنند (مثل xy7q2z9.com). اکثر این دامنه‌ها ثبت نشده‌اند و خطای NXDOMAIN می‌دهند.
ارتباط با C2 مسدود شده: بدافزاری که سعی دارد به سروری متصل شود که توسط مراجع قانونی یا امنیتی از کار افتاده (Sinkholed) است.
DNS Tunneling: تلاش برای استخراج اطلاعات از طریق پروتکل DNS که اغلب با درخواست‌های نامعتبر همراه است.

سناریوهای متوسط (Medium Risk)

شناسایی شبکه (Reconnaissance): مهاجم در حال اسکن ساب‌دامین‌ها (Brute-forcing Subdomains) برای یافتن سرورهای داخلی سازمان است.
پیکربندی غلط سرور: سروری که به اشتباه سعی می‌کند به دامنه‌ای که دیگر وجود ندارد (Retired Domain) متصل شود.

سناریوهای کم‌خطر (Low Risk / False Positive)

مرورگرهای وب: برخی مرورگرها یا افزونه‌ها ممکن است دامنه‌هایی را برای تست اتصال چک کنند.
اشتباه در DNS Suffix: تنظیمات نادرست کارت شبکه که باعث می‌شود پسوندهای داخلی به دامنه‌های عمومی چسبیده شوند.

ارزیابی خطر و تریاژ (Triage)

نشانه قطعی خطر: اگر دامنه‌های درخواست شده شبیه رشته‌های تصادفی طولانی (DGA) هستند (مثل ajsdu823jd.info)، سیستم قطعاً آلوده است.

بررسی الگوهای دامنه: آیا دامنه‌ها خوانا هستند (مثل google.com) یا تصادفی؟ دامنه‌های تصادفی نشانه DGA هستند.
منبع درخواست: آیا درخواست‌ها از یک سرور حساس (مثل Database) می‌آیند یا ایستگاه کاری کاربر؟
حجم خطا: آیا خطاها ناگهانی زیاد شده‌اند (Spike) یا همیشه وجود داشته‌اند (Configuration Issue)؟

الزامات داده و مدل‌ها

اطلاعات مورد نیاز

Network Traffic Logs (DNS)
Sysmon Event ID 22

دیتامدل‌های مورد استفاده

Network_Resolution (DNS)

فیلدهای کلیدی جهت بررسی

هنگام تحلیل لاگ‌های DNS (مانند Sysmon Event 22 یا لاگ‌های فایروال/DNS Server)، بررسی این فیلدها الزامی است:

src_ip / src

query / query_name

reply_code (NXDOMAIN)

message_type

query_type

count