Akademiska institutioner uppmanade att vidta åtgärder för att förhindra DNS-amplifieringsattacker

Högskolor och universitet uppmanas att granska sina system för att de inte ska kapas i DDoS-attacker (distributed denial-of-service). Utbildningsnätverk Informationsdelning och analyscenter (REN-ISAC) rådde akademiska institutioner denna vecka för att se över deras DNS (Domain Name System) och nätverkskonfigurationer för att förhindra att deras system missbrukas för att förstärka DDoS-attacker.

"REN- ISAC vill öka medvetenheten och driva förändringar när det gäller gemensamma konfigurationer för nätverk och domännamnssystem (DNS) som inte uppfyller god praxis och som, om de lämnas obekanta, öppnar dörren för Din institution ska utnyttjas som en oförmögen partner för att förlamna avslag på tjänsteattacker mot tredje part ", säger Doug Pearson, teknisk direktör för REN-ISAC, i en varning som skickades onsdagen till organisationens medlemmar.

[Vidare läsning: Hur man ta bort skadlig kod från din Windows-dator]

REN-ISACs medlemmar omfattar över 350 universitet, högskolor och forskningscenter från USA, Kanada, Australien, Nya Zeeland och Sverige.

DDoS-attackerna Pearson hänvisar till kallas DNS-förstärkning eller DNS-reflektionsattacker och involverar att skicka DNS-frågor med en spoofed IP-adress (Internet Protocol) till rekursiva DNS-resolvere som accepterar frågor från utanför deras nätverk.

Dessa spoofed-förfrågningar resulterar i betydligt större svar som skickas av den frågade "öppna "DNS-resolver till de avsedda offrets IP-adresser, översvämmer dem med oönskad trafik.

Denna angreppsmetod har varit känd under många år och användes nyligen för att starta en DDoS-attack av oöverträffad

Melissa Riofrio

"För att uttrycka det i kontext, kopplar de flesta universitet och organisationer till Internet med 1Gbps eller mindre," sa Pearson. "I den här händelsen var inte bara det avsedda offeret förkrossat, Internetleverantörer och säkerhetsleverantörer som försökte mildra attacken påverkades negativt."

"Högskolan och forskargemenskapen måste göra sin roll för att säkerställa att vi inte är REN-ISAC utfärdat två versioner av varningen, en avsedd för CIOs som innehöll mer allmän information om hotet och en som riktades mot IT-säkerhetspersonal, liksom nätverket och DNS administratörer som innehåller teknisk rådgivning om hur man mildrar problemet.

Rekommendationerna innefattar att konfigurera rekursiva DNS-resolver för att endast vara tillgänglig från organisationens nätverk, genom att tillämpa gränsfrekvenser för sökord för auktoritativa DNS-servrar som behöver ifrågasättas från externa nätverk och till implementera anti-spoofing-nätverksfiltreringsmetoderna som definieras i IETF: s Best Current Practice (BCP) 38-dokument.

Det är beundransvärt att REN-ISAC tar detta steg o f anmäler sina medlemmar och utbildar dem om detta problem, säger Roland Dobbins, en senior analytiker i säkerhetstekniken och svarlaget vid DDoS-reduktionsleverantören Arbor Networks. Andra branschföreningar borde göra det också, sa han.

Enligt deras karaktär tenderar akademiska institutioner att vara öppnare med sin åtkomstpolitik och har inte nödvändigtvis härdat allt i en sådan grad att deras servrar inte kan missbrukas, Sade Dobbins. Arbor har sett öppna DNS-resolver på alla typer av nätverk, inklusive utbildningsmaterial som användes för att starta DNS-reflektionsattacker. Men det är viktigt att förstå att DNS-reflektionsangrepp bara är en typ av förstärkningsattack, sa Dobbins.. Andra protokoll inklusive SNMP (Simple Network Management Protocol) och NTP (Network Time Protocol) kan missbrukas på ett liknande sätt, sa han.

Att säkra och konfigurera DNS-servrar är viktigt, men det är ännu viktigare att implementera BCP 38, säger Dobbins. Anti-spoofing bör tillämpas på alla Internet-nätverk som är utrustade så att spoofed paket inte kan härröra från dem. "Ju närmare vi kommer till universell tillämpning av BCP 38, desto hårdare blir det för angripare att starta DDoS-amplifieringsattacker av något slag."