Akateemiset laitokset kehotetaan ryhtymään toimiin estääkseen DNA-monistushyökkäykset

Korkeakouluja ja yliopistoja rohkaistaan ​​valvomaan järjestelmiään, jotta heitä ei kaappaisi DDoS-hyökkäyksissä (distributed denial of service). Koulutusverkostoinfrastruktuurien tiedon jakamis- ja analysointikeskus (REN-ISAC) kehotti akateemisia laitoksia tällä viikolla tarkastelemaan DNS-verkkotunnusta ja verkkokokoonpanoja estääkseen järjestelmien väärinkäytön DDoS-hyökkäysten vahvistamiseksi.

"REN- ISAC haluaa lisätä tietoisuutta ja muuttaa muutoksia yhteisiin verkko- ja verkkotunnusten (DNS) kokoonpanoihin, jotka eivät vastaa hyväksyttyjä parhaita käytäntöjä ja jotka, jos niitä ei ole valittu, avata oven laitoksesi on käytettävä hyväksi tahattomana yhteistyökumppanina kolmansien osapuolten haavoittuville palvelunestohyökkäyksille ", sanoo REN-ISACin tekninen johtaja Doug Pearson, joka lähetettiin keskiviikkona järjestön jäsenille.

[Lue lisää: poista haittaohjelmat Windows-tietokoneelta]

REN-ISAC: n jäsenillä on yli 350 yliopistoa, korkeakoulua ja tutkimuskeskusta Yhdysvalloista, Kanadasta, Australiasta, Uudesta-Seelannista ja Ruotsista.

DDoS-hyökkäykset Pearson viittaa tunnetaan DNS-monistuksina tai DNS-heijastus-iskuihin ja joihin liittyy DNS-kyselyiden lähettäminen väärennetyllä IP-osoitteen (Internet Protocol) osoitetuilla rekursiivisilla DNS-resolveroilla, jotka hyväksyvät kyselyitä verkkojen ulkopuolelta.

Nämä väärennetyt pyynnöt aiheuttavat huomattavasti suurempia vastauksia, "DNS ratkaisee suunniteltujen uhrien IP-osoitteita tulvista heitä ei-toivottuun liikenteeseen.

Tämä hyökkäysmenetelmä on ollut tiedossa jo useita vuosia, ja sitä käytettiin äskettäin DDoS-hyökkäyksen

Melissa Riofrio

"Tämän vuoksi useimmat yliopistot ja organisaatiot yhdistyvät Internetiin 1 Gbps tai vähemmän," Pearson sanoi. "Tämä tapaus ei ollut pelkästään uhattua uhria, sillä Internet-palveluntarjoajat ja tietoturvapalvelujen tarjoajat, jotka yrittävät lieventää hyökkäystä, kärsivät haitallisesti."

"Korkeakoulu ja tutkimusyhteisö on tehtävä osansa varmistaakseen, että emme ole mikä helpottaa näiden hyökkäysten helpottamista ", Pearson totesi.

REN-ISAC julkaisi kaksi versiota hälytyksestä, joka oli tarkoitettu tietotekniikan toimijoille, jotka sisälsivät yleisempiä tietoja uhkasta, ja yksi suunniteltiin tietoturvahenkilöstöön sekä verkkoon ja DNS: hen järjestelmänvalvojat, joissa on teknisiä neuvoja ongelman lieventämisestä.

Suositukset sisälsivät rekursiivisten DNS-resolvertien määrittämisen vain organisaation verkkoihin pääsyn valvomiseksi, jotta kyselynopeusrajoitukset voitaisiin valvoa sellaisille arvovaltaisille DNS-palvelimille, jotka on kysyttävä ulkoisilta verkkoilta toteuttamaan IETF: n Best Current Practice -asiakirjassa (BCT) 38 määritellyt anti-spoofing -verkkosuodatusmenetelmät.

On hienoa, että REN-ISAC ottaa tämän vaiheen o F ilmoitti jäsenilleen ja kouluttaa heitä tästä ongelmasta, sanoi Roland Dobbins, DDoS-lieventämisyrityksen Arbor Networksin tietoturva- ja vastausryhmän vanhempi analyytikko. Muut teollisuusyhdistykset tekevät niin hyvin, hän sanoi.

Akateemiset instituutiot ovat luonteeltaan avoimempia niiden käyttöoikeuspolitiikan kanssa, eivätkä ne välttämättä ole kovettaneet kaikkea niin paljon, että niiden palvelimia ei voida väärinkäyttää, Dobbins sanoi. Arbor on nähnyt avoimia DNS-resolverteja kaikentyyppisissä verkostoissa, myös kouluissa, joita käytetään DNS-heijastushyökkäysten käynnistämisessä, hän sanoi.

On kuitenkin tärkeää ymmärtää, että DNS-reflektiohyökkäykset ovat vain yksi vahvistuskohtauksen tyyppi, Dobbins sanoi. Muut protokollat, kuten SNMP (Simple Network Management Protocol) ja NTP (Network Time Protocol), voidaan väärinkäyttää samalla tavalla, hän sanoi.

DNS-palvelimien turvaaminen ja oikea konfigurointi on tärkeää, mutta on vielä tärkeämpää toteuttaa BCP 38, Dobbins sanoi. Anti-spoofing tulisi soveltaa kaikkiin internetin vastaaviin verkkoihin, jotta väärennettyjä paketteja ei voi syntyä niistä. "Mitä lähemmäksi pääsemme BCP 38: n yleiseen käyttöön, sitä vaikeammaksi on, että hyökkääjät voivat käynnistää minkäänlaisia ​​DDoS-vahvistuskohtauksia."