Akademiske institusjoner oppfordret til å ta skritt for å forhindre DNS-amplifikasjonsangrep

Høyskoler og universiteter oppfordres til å undersøke systemene deres for å hindre at de blir kapret i DDoS-angrep (distributed denial-of-service). REN-ISAC (Education Networking Information Sharing and Analysis Center) informerte akademiske institusjoner denne uken for å gjennomgå DNS-systemet (Domain Name System) og nettverkskonfigurasjoner for å forhindre at systemene misbrukes for å forsterke DDoS-angrep.

"REN- ISAC ønsker å øke bevisstheten og drive endring om felles nettverk og domenenavnssystem (DNS) konfigurasjoner som mangler akseptert god praksis og som, hvis de ikke er merket, åpner døren for Din institusjon skal bli utnyttet som en ufrivillig partner for å kremme deial of service-angrep mot tredjeparter, sier Doug Pearson, teknisk direktør for REN-ISAC, i et varsel sendt onsdag til organisasjonens medlemmer.

[Videre lesing: Hvordan fjerner skadelig programvare fra din Windows-PC]

REN-ISACs medlemmer inkluderer over 350 universiteter, høgskoler og forskningssteder fra USA, Canada, Australia, New Zealand og Sverige.

DDoS-angrepene Pearson refererer til kalles DNS-forsterkning eller DNS refleksjon angrep og involvere sending av DNS-spørringer med en forfalsket IP-adresse (Internet Protocol) til rekursive DNS-resolvere som aksepterer spørringer fra utenfor nettverket.

Disse forfalskede forespørsler gir betydelig større svar som sendes av spørsmålet "åpen" "DNS-resolvere til IP-adressene til de tiltenkte ofrene, oversvømmer dem med uønsket trafikk.

Denne angrepsmetoden har vært kjent i mange år og ble nylig brukt til å starte et DDoS-angrep av enestående ted skala som angivelig toppet på over 300Gbps mot en spam-kamp organisasjon kalt Spamhaus.

Melissa Riofrio

"For å si det i sammenheng, kobler de fleste universiteter og organisasjoner til Internett med 1Gbps eller mindre," sa Pearson. "I denne hendelsen var ikke bare det tilsiktede offeret forkrøpet, Internett-leverandører og sikkerhetsleverandører som forsøkte å redusere angrepet, ble negativt påvirket."

"Videregående utdanning og forskningsmiljø må gjøre sin rolle for å sikre at vi ikke er som bidrar til å lette disse angrepene, sier Pearson.

REN-ISAC utstedte to versjoner av varselet, en ment for CIOs som inneholdt mer generell informasjon om trusselen, og en rettet mot IT-sikkerhetspersonell, samt nettverk og DNS administratorer, som inneholder teknisk rådgivning om hvordan du kan redusere problemet.

Anbefalingene inkluderer konfigurering av rekursive DNS-resolvere som bare er tilgjengelige fra organisasjonens nettverk, håndheving av søkefrekvensgrenser for autoritative DNS-servere som må forespørres fra eksterne nettverk og til implementere anti-spoofing-nettverksfiltreringsmetodene som er definert i IETFs Best Current Practice (BCP) 38-dokument.

Det er beundringsverdig at REN-ISAC tar dette trinnet o F varsler sine medlemmer og utdanner dem om dette problemet, sa Roland Dobbins, en senior analytiker i sikkerhetsingeniør og svarteam på DDoS-reduksjonsleverandøren Arbor Networks. Andre bransjeforeninger bør gjøre det også, sa han.

Vitenskapelige institusjoner pleier å være mer åpne med tilgangspolitikken og har ikke nødvendigvis herdet alt i en grad som vil sikre at serverne ikke kan misbrukes, Sa Dobbins. Arbor har sett åpne DNS-resolvere på alle slags nettverk, inkludert pedagogiske, som ble brukt til å starte DNS reflekteringsangrep, sa han.

Det er imidlertid viktig å forstå at DNS refleksjon angrep er bare en type amplifikasjonsangrep, sa Dobbins. Andre protokoller, inkludert SNMP (Simple Network Management Protocol) og NTP (Network Time Protocol), kan misbrukes på samme måte, sa han.

Sikring og riktig konfigurering av DNS-servere er viktig, men det er enda viktigere å implementere BCP 38, sa Dobbins. Anti-spoofing bør brukes på alle Internett-motstående nettverk, slik at spoofed-pakker ikke kan stamme fra dem. "Jo nærmere vi kommer til universell bruk av BCP 38, jo vanskeligere blir det for angripere å starte DDoS-forsterkningsangrep av noe slag."