Академические учреждения призваны предпринимать шаги для предотвращения атак с усилением DNS

Колледжи и университеты поощряются тщательно изучать свои системы, чтобы не допустить их захвата в атаках DDoS (распределенных отказ в обслуживании).

Исследования и Центр исследований и обмена информацией о сетях образования (REN-ISAC) на этой неделе посоветовал академическим учреждениям изучить их DNS (систему доменных имен) и сетевые конфигурации, чтобы предотвратить злоупотребление их системами для усиления DDoS-атак.

«REN- ISAC хочет повысить информированность и внести изменения в общие конфигурации сетей и доменных имен (DNS), которые не соответствуют принятой передовой практике и которые, если их не остановить, откроют дверь для ваше учреждение будет эксплуатироваться в качестве невольного партнера для нанесения вреда атакам отказа в обслуживании третьих лиц », - сказал Дуг Пирсон, технический директор REN-ISAC, в сообщении, отправленном в среду членам организации.

[далее] удалите вредоносное ПО с вашего ПК с Windows]

Члены REN-ISAC включают более 350 университетов, колледжей и исследовательских центров из США, Канады, Австралии, Новой Зеландии и Швеции.

DDoS-атаки Pearson называются DNS-амплификацией или DNS-отражения, и включать отправку DNS-запросов с поддельным IP-адресом (Интернет-протоколом) на рекурсивные DNS-резольверы, которые принимают запросы из-за пределов своих сетей.

Эти поддельные запросы приводят к значительно большему количеству ответов, отправленных запрошенным «открытым» «Решения DNS для IP-адресов предполагаемых жертв, наводнения их нежелательным трафиком.

Этот метод атаки известен уже много лет и недавно использовался для запуска DDoS-атаки беспрецедентного которая, по сообщениям, достигла максимума в 300 Гбит / с против организации спама, называемой Спамхаусом.

Мелисса Риофрио

«Чтобы сказать, что в контексте большинство университетов и организаций подключаются к Интернету со скоростью 1 Гбит / с или менее», - сказал Пирсон. «В этом инциденте пострадали не только предполагаемые жертвы, но и поставщики услуг Интернета и поставщики услуг безопасности, пытающиеся смягчить эту атаку».

«Высшее образование и исследовательское сообщество должны внести свой вклад, чтобы гарантировать, что мы не помогая облегчить эти атаки », - сказал Пирсон.

REN-ISAC выпустил две версии оповещения, предназначенные для ИТ-директоров, которые содержали более общую информацию об этой угрозе, а один - для сотрудников ИТ-безопасности, а также сети и DNS администраторы, содержащие технические рекомендации по устранению проблемы.

Рекомендации включали настройку рекурсивных DNS-разрешителей только для доступа из сетей организации, применение ограничений скорости запросов для авторитетных DNS-серверов, которые необходимо запрашивать из внешних сетей, и внедрить методы фильтрации сети для защиты от спуфинга, определенные в документе 38 «Лучшая текущая практика IETF» (BCP).

Замечательно, что REN-ISAC делает этот шаг o f уведомляя своих членов и воспитывая их по этой проблеме, сказал Роланд Доббинс, старший аналитик в подразделении по разработке и реагированию на безопасность в DDoS-партнере по сокращению рисков Arbor Networks. По его словам, другие отраслевые ассоциации также должны делать это.

По своей природе академические учреждения, как правило, более открыты с политикой доступа и не обязательно затвердевают все до такой степени, что не позволят их серверам не злоупотреблять, Сказал Доббинс. Арбор видел открытые DNS-резольверы для всех видов сетей, включая образовательные, которые использовались для запуска атак DNS-отражения.

Однако важно понимать, что атаки с отражением DNS - это всего лишь один тип усилительной атаки, сказал Доббинс, По его словам, другие протоколы, в том числе SNMP (Simple Network Management Protocol) и NTP (Network Time Protocol), могут быть использованы таким же образом.

Важное значение имеет безопасность и правильная настройка DNS-серверов, но еще важнее реализовать BCP 38, сказал Доббинс. Anti-spoofing следует применять во всех сетях, ориентированных на Интернет, так что поддельные пакеты не могут исходить из них. «Чем ближе мы к универсальному применению BCP 38, тем сложнее становится для злоумышленников запускать атаки на усиление DDoS любого типа».