Akademické instituce naléhavě vyzývají, aby podnikly kroky k zabránění útokům zesílení DNS

Vysoké školy a vysoké školy jsou povzbuzovány k tomu, aby přezkoumávali své systémy, aby je zabránili v únosu v útoku DDoS (distribuované odmítnutí služby). Vzdělávací síťové centrum pro sdílení informací a analýzu (REN-ISAC) tuto týden doporučilo akademickým institucím, aby přezkoumaly své DNS (Domain Name System) a síťové konfigurace, aby zabránily zneužívání jejich systémů k zesílení útoků DDoS.

ISAC chce zvýšit povědomí o změnách a změnách týkajících se konfigurací systému DNS (Domain Name System) a doménového jména, které nedosahují přijatelných osvědčených postupů a které, pokud nebudou kontrolovány, otevřou dveře aby vaše instituce byla zneužívána jako nevědomý partner, aby zablokoval útoky na odmítnutí služby proti třetím stranám, "řekl Doug Pearson, technický ředitel společnosti REN-ISAC, ve středu zaslaného záznamu členům organizace. odstranění malwaru z počítače se systémem Windows]

Mezi členy REN-ISAC patří více než 350 univerzit, vysokých škol a výzkumných středisek z USA, Kanady, Austrálie, Nového Zélandu a Švédska.

Důsledky útoků DDoS Pearson jsou označovány jako zesílení DNS nebo útoky odrazu DNS a zahrnují zasílání dotazů DNS s adresou IP (Internet Protocol) na rekurzivní řešitele DNS, které přijímají dotazy mimo jejich sítě.

Tyto podvodné požadavky vedou k výrazně většímu počtu odpovědí zaslaných dotazem "otevřený "DNS řeší adresy IP zamýšlených obětí, zaplavuje je s nežádoucími provozy.

Tato metoda útoku je známa již mnoho let a byla nedávno použita k zahájení útoku DDoS bezprecedentního která se údajně dostala na více než 300Gbps proti spamové organizaci nazvané Spamhaus.

Melissa Riofrio

"Většina univerzit a organizací se připojuje k Internetu rychlostí 1 Gbps nebo méně," uvedl Pearson. "V tomto incidentu byla nejen zamýšlená obětí zmrzačena, poskytovatelé internetových služeb a poskytovatelé bezpečnostních služeb, kteří se pokoušeli zmírnit útok, byly nepříznivě ovlivněny."

"Vysoká škola a výzkumná komunita musí učinit svou roli, aby zajistila, že nejsme pomáhá usnadnit tyto útoky, "řekl Pearson.

REN-ISAC vydal dvě verze varování, jedna pro CIO, která obsahovala obecnější informace o hrozbě a jedna byla zaměřena na bezpečnostní pracovníky IT, stejně jako sítě a DNS administrátoři, obsahující technické rady o tom, jak tento problém zmírnit.

Doporučení zahrnovala konfiguraci rekurzivních řešení DNS tak, aby byla přístupná pouze z organizačních sítí a vynucovala limity frekvencí dotazů pro autoritativní servery DNS, které je třeba dotazovat z externích sítí a implementovat metody filtrování sítí proti podvodům definované v dokumentu BET (Best Current Practice IETF) 38.

Je obdivuhodné, že REN-ISAC podniká tento krok o f upozorňovat své členy a vychovávat je o tomto problému, řekl Roland Dobbins, senior analytik v týmu bezpečnostního inženýrství a reakce v dodavatelském řetězci DDoS Arbor Networks. Ostatní odborové organizace by tak měly učinit také.

Akademické instituce mají svou povahou tendenci být otevřenější se svými přístupovými politikami a nemusí nutně zatvrzovat vše, do jaké míry by to zajistilo, že jejich servery nemohou být zneužívány, Řekl Dobbins. Arbor viděl otevřené DNS resolvery na všech typech sítí včetně vzdělávacích, které byly použity k zahájení útoků na odraz DNS, řekl.

Nicméně je důležité si uvědomit, že útoky reflexe DNS jsou pouze jedním typem útoku zesílení, řekl Dobbins. Jiné protokoly včetně SNMP (Simple Network Management Protocol) a NTP (Network Time Protocol) mohou být zneužívány podobným způsobem, řekl.

Zabezpečení a správná konfigurace serverů DNS je důležité, ale je ještě důležitější implementovat BCP 38, řekl Dobbins. Anti-spoofing by měl být aplikován na všechny sítě orientované na Internet, aby z nich nemohly pocházet zfalšované pakety. "Čím blíž se dostáváme k univerzální aplikaci BCP 38, tím těžší je útočníkům, aby spustili útoky DDoS zesílení libovolného druhu."