Instytucje akademickie wezwały do ​​podjęcia kroków w celu zapobiegania atakom wzmacniającym DNS

Koledzy i uniwersytety są zachęcani do sprawdzania swoich systemów, aby zapobiec przejęciu ich przez DDoS (rozproszone ataki typu "odmowa usługi").

Centrum udostępniania informacji i analizy sieci (REN-ISAC) doradzało instytucjom akademickim w tym tygodniu, aby dokonały przeglądu swoich systemów DNS (Domain Name System) i sieci, aby zapobiec nadużywaniu ich systemów w celu wzmocnienia ataków DDoS.

"REN- ISAC chce podnosić świadomość i stymulować zmiany dotyczące wspólnych konfiguracji sieci i systemu nazw domen (DNS), które nie są zgodne z przyjętymi najlepszymi praktykami i które, jeśli pozostaną niezaznaczone, otwierają drzwi dla Twoja instytucja może zostać wykorzystana jako nieświadomy partner do paraliżowania ataków typu "odmowa usługi" na osoby trzecie - powiedział Doug Pearson, dyrektor techniczny REN-ISAC, w ostrzeżeniu wysłanym w środę do członków organizacji.

[Czytaj dalej: usuwaj złośliwe oprogramowanie z komputera z Windows]

Członkowie REN-ISAC obejmują ponad 350 uniwersytetów, szkół wyższych i ośrodków badawczych z USA, Kanady, Australii, Nowej Zelandii i Szwecji.

Ataki DDoS, na które Pearson się nazywa, są nazywane wzmocnieniem DNS lub ataki polegające na odbijaniu DNS i obejmują wysyłanie zapytań DNS z fałszywym adresem IP (protokół internetowy) do rekursywnych usług rozpoznawania nazw DNS akceptujących zapytania spoza ich sieci.

Te fałszywe żądania skutkują znacznie większymi odpowiedziami wysłanymi przez zapytanie "otwarte" "DNS rozpoznaje adresy IP zamierzonych ofiar, zalewając je niechcianym ruchem.

Ta metoda ataku jest znana od wielu lat i została niedawno wykorzystana do przeprowadzenia ataku DDoS o niespotykanym dotąd poziomie. Skala, która podobno osiągnęła najwyższy poziom ponad 300 Gbps przeciwko organizacji spamerskiej o nazwie Spamhaus.

Melissa Riofrio

"Mówiąc w tym kontekście, większość uniwersytetów i organizacji łączy się z Internetem z szybkością 1 Gbps lub mniej", powiedział Pearson. "W tym incydencie nie tylko okaleczona ofiara została okaleczona, ale także usługodawcy internetowi i dostawcy usług bezpieczeństwa usiłujący złagodzić atak."

"Społeczność szkolnictwa wyższego i środowiska naukowego musi dołożyć starań, aby zapewnić, że nie jesteśmy pomoc w ułatwianiu tych ataków ", powiedział Pearson.

REN-ISAC wydał dwie wersje ostrzeżenia, jedno przeznaczone dla CIO, które zawierało bardziej ogólne informacje o zagrożeniu, i jedno skierowane do personelu bezpieczeństwa IT, a także sieci i DNS administratorzy, zawierający porady techniczne, jak złagodzić problem.

Zalecenia obejmowały skonfigurowanie rekursywnych programów do rozpoznawania nazw DNS tak, aby były dostępne tylko z sieci organizacji, wymuszając limity stawek zapytań dla autorytatywnych serwerów DNS, które wymagają sprawdzania z sieci zewnętrznych i zaimplementować metody filtrowania sieci pod kątem spoofingu zdefiniowane w dokumencie Best Current Practice (BCP) 38 firmy IETF.

To godne podziwu, że REN-ISAC robi ten krok o f powiadamiając swoich członków i ucząc ich o tym problemie, powiedział Roland Dobbins, starszy analityk w zespole inżynierii bezpieczeństwa i reagowania w firmie Arbor Networks, dostawcy rozwiązań łagodzących zmiany DDoS. Inne organizacje przemysłowe również powinny to zrobić, powiedział.

Ze swej natury instytucje akademickie są bardziej otwarte dzięki swojej polityce dostępu i niekoniecznie hartowały wszystko w stopniu, który zapewniłby, że ich serwery nie mogą być nadużywane. - powiedział Dobbins. Arbor widział otwarte translatory DNS dla wszystkich rodzajów sieci, w tym edukacyjnych, które były używane do odpalania ataków DNS, powiedział.

Jednak ważne jest, aby zrozumieć, że ataki polegające na odbijaniu DNS są tylko jednym rodzajem ataków amplifikacji, powiedział Dobbins.. Inne protokoły, w tym SNMP (Simple Network Management Protocol) i NTP (Network Time Protocol) mogą być nadużywane w podobny sposób, powiedział.

Zabezpieczanie i prawidłowe konfigurowanie serwerów DNS jest ważne, ale jeszcze ważniejsze jest wdrożenie BCP 38, powiedział Dobbins. Anti-spoofing powinien być stosowany we wszystkich sieciach internetowych, aby sfałszowane pakiety nie mogły z nich pochodzić. "Im bardziej zbliżymy się do uniwersalnego zastosowania BCP 38, tym trudniej będzie atakującym wprowadzić dowolne ataki typu DDoS."