Akademiske institutioner opfordrede til at tage skridt til at forhindre DNS-amplifikationsangreb.

Højskoler og universiteter opfordres til at undersøge deres systemer for at forhindre dem i at blive kapret i DDoS-angreb (distributed denial-of-service). Uddannelsesnetværk Information Sharing and Analysis Center (REN-ISAC) rådede akademiske institutioner i denne uge for at gennemgå deres DNS (Domain Name System) og netværkskonfigurationer for at forhindre, at deres systemer misbruges til at forstærke DDoS-angreb.

"REN- ISAC ønsker at øge bevidstheden og drive ændringer i forbindelse med fælles netværk og domænenavnssystem (DNS) -konfigurationer, der ikke er godkendt af bedste praksis, og som, hvis de ikke er markeret, åbner døren for Din institution skal udnyttes som en uoverensstemmende partner for at forkrænke deial of service-angreb mod tredjeparter ", siger Doug Pearson, teknisk direktør for REN-ISAC, i en alarm sendt onsdag til organisationens medlemmer.

[Yderligere læsning: Hvordan fjerner malware fra din Windows-pc]

REN-ISACs medlemmer omfatter over 350 universiteter, gymnasier og forskningscentre fra USA, Canada, Australien, New Zealand og Sverige.

DDoS-angrebene Pearson refererer til kaldes DNS-amplifikation eller DNS-refleksionsangreb og involverer afsendelse af DNS-forespørgsler med en forfalsket IP-adresse (Internet Protocol) til rekursive DNS-resolvere, der accepterer forespørgsler uden for deres netværk.

Disse forfalskede anmodninger resulterer i betydeligt større svar sendt af den forespurgte "åben "DNS-resolvere til de påtænkte ofres IP-adresser, oversvømmelser dem med uønsket trafik.

Denne angrebsmetode har været kendt i mange år og blev for nylig brugt til at lancere et DDoS-angreb af hidtil uset

Melissa Riofrio

"For at sige det i sammenhæng, forbinder de fleste universiteter og organisationer med internettet med 1 Gbps eller mindre," sagde Pearson. "I denne hændelse var ikke kun det tilsigtede offer forkrøbet, internetudbydere og sikkerhedstjenesteudbydere, der forsøgte at afbøde angrebet, blev negativt påvirket."

"Videregående uddannelses- og forskningsmiljø skal gøre sin del for at sikre, at vi ikke er hjælper med at lette disse angreb, "sagde Pearson.

REN-ISAC udstedte to versioner af advarslen, en betød for CIO'er, der indeholdt mere generel information om truslen, og en rettet mod it-sikkerhedspersonale samt netværk og DNS administratorer, der indeholder teknisk rådgivning om, hvordan man mildner problemet.

Anbefalingerne omfatter konfiguration af rekursive DNS-resolvere, som kun er tilgængelige fra organisationens netværk, håndhævelse af forespørgselsfrekvensgrænser for autoritative DNS-servere, der skal forespørges fra eksterne netværk og til implementere anti-spoofing-netværksfiltreringsmetoderne defineret i IETF's Best Current Practice (BCP) 38-dokument.

Det er beundringsværdigt, at REN-ISAC tager dette trin o f at informere sine medlemmer og uddanne dem om dette problem, sagde Roland Dobbins, en højtstående analytiker i sikkerhedsteknologien og reaktionsholdet hos DDoS-afbødende leverandør Arbor Networks. Andre industriforeninger bør også gøre det, sagde han.

De akademiske institutioners tendens til at være mere åbne med deres adgangspolitikker og har ikke nødvendigvis hærdet alt i en grad, der ville sikre, at deres servere ikke kan misbruges, Sagde dobbins. Arbor har set åbne DNS-resolvere på alle former for netværk, herunder pædagogiske dem, der blev brugt til at starte DNS refleksionsangreb, sagde han.

Det er dog vigtigt at forstå, at DNS refleksionsangreb kun er én type amplifikationsangreb, siger Dobbins. Andre protokoller, herunder SNMP (Simple Network Management Protocol) og NTP (Network Time Protocol) kan misbruges på samme måde, sagde han.

Sikring og korrekt konfiguration af DNS-servere er vigtig, men det er endnu vigtigere at implementere BCP 38, sagde Dobbins. Anti-spoofing bør anvendes på alle internet-modnet netværk, så spoofed pakker ikke kan stamme fra dem. "Jo tættere vi kommer til universel anvendelse af BCP 38, jo sværere bliver det for angribere at starte DDoS-amplifikationsangreb af nogen art."