Akademske institucije potaknute da poduzmu korake kako bi spriječile napade DNS amplifikacije

Koledži i sveučilišta se potiču da prouče svoje sustave kako bi ih zadržali od otmice napada DDoS-a (distribuiranih uskraćivanja-usluga).

Istraživanje i Centar za informiranje i analizu informacija o obrazovnim mrežama (REN-ISAC) ovog je tjedna savjetovao akademskim institucijama da pregledaju svoje DNS (Domain Name System) i mrežne konfiguracije kako bi spriječili njihovo zlouporabe da pojačaju DDoS napade.

"REN- ISAC želi podići razinu svijesti i potaknuti promjene u vezi s uobičajenim konfiguracijama mreže i DNS-a (DNS) koje nisu u skladu s prihvaćenom najboljom praksom, a koje, ako nisu ostavljene bez poteškoća, otvaraju vrata za vašu instituciju treba iskoristiti kao nesvjesnog partnera na smrtonosne napade poricanja služenja protiv trećih strana ", rekao je Doug Pearson, tehnički direktor REN-ISAC-a, u upozorenju upućenoj u srijedu članovima organizacije.

Članovi REN-ISAC-a obuhvaćaju više od 350 sveučilišta, fakulteta i istraživačkih centara iz SAD-a, Kanade, Australije, Novog Zelanda i Švedske.

DDoS napadi koji se odnose na Pearson poznati su kao DNS amplifikacija ili DNS reflektirajućih napada i uključuju slanje DNS upita sa spoofed IP (Internet Protocol) adresom na rekurzivnim DNS resolverima koji prihvaćaju upite izvan svojih mreža.

Ovi zavareni zahtjevi dovode do znatno većih odgovora koje je poslao upitani "otvoreni "DNS resolver za IP adrese namjeravanih žrtava, preplavljujući ih neželjenim prometom.

Ova metoda napada poznata je dugi niz godina i nedavno je korištena za pokretanje DDoS napada bez prethodnog što znači da je najveći broj sveučilišta i organizacija povezao se s internetom na 1Gbps ili manje, "rekao je Pearson.

"U ovom incidentu ne samo da je žrtva bila zaražena, pružatelji internetskih usluga i pružatelji sigurnosnih usluga koji su pokušali ublažiti napad bili su pogođeni".

"Visokoškolsko i istraživačka zajednica mora učiniti svoj dio kako bi se osiguralo da nismo pomaže u olakšavanju tih napada ", rekao je Pearson.

REN-ISAC izdao je dvije verzije upozorenja, jedan namijenjen CIO-ima koji su sadržavali općenitije informacije o prijetnji, a jedan usmjeren na IT sigurnosno osoblje, kao i mrežu i DNS administratori koji sadrže tehničke savjete o tome kako ublažiti problem.

Preporuke su uključivale konfiguriranje rekurzivnih DNS resolvera da bi bile dostupne samo iz mreža organizacije, provodeći ograničenja stopa upita za autoritativne DNS poslužitelje koji se ne moraju upitati od vanjskih mreža i implementiraju metode filtriranja mreža protiv korupcije definirane u IETF-ovom dokumentu Best Current Practice (BCP) 38.

Divno je što REN-ISAC poduzima ovaj korak obavijestiti svoje članove i educirati ih o tom problemu, rekao je Roland Dobbins, viši analitičar u timu za sigurnosno inženjerstvo i odgovor na DDoS mitralizatora Arbor Networks. Isto tako, to bi trebalo činiti i druge udruge u industriji.

Po svojoj prirodi, akademske institucije imaju tendenciju da budu otvorenije svojim pristupnim politikama i nisu nužno otvrdnuli sve do stupnja koji bi osigurao da se njihovi poslužitelji ne mogu zloupotrijebiti, Rekao je Dobbins. Arbor je vidio otvorene DNS resolverove na svim vrstama mreža, uključujući obrazovne, koji su se koristili za pokretanje napada DNS refleksije, rekao je.

Međutim, važno je razumjeti da su napadi refleksije DNS samo jedna vrsta napada amplifikacije, rekao je Dobbins., Na sličan način mogu se zloupotrijebiti i drugi protokoli, uključujući SNMP (Simple Network Management Protocol) i NTP (Network Time Protocol).

Osiguravanje i ispravno konfiguriranje DNS poslužitelja je važno, ali je još važnije implementirati BCP 38, rekao je Dobbins. Anti-spoofing treba primijeniti na svim mrežama koje se suočavaju s Internetom, tako da spoofed paketi ne mogu potjecati od njih. "Što bliže dođe do univerzalne primjene BCP 38, to je sve teže za napadače pokrenuti DDoS pojačanje napada bilo koje vrste."