Te voorkomen Academische instellingen drongen aan om stappen te ondernemen om DNS-versterkingsaanvallen te voorkomen

Hogescholen en universiteiten worden aangemoedigd hun systemen kritisch te bekijken om te voorkomen dat ze worden gekaapt door DDoS-aanvallen (distributed denial-of-service).

Education Networking Information Sharing and Analysis Center (REN-ISAC) adviseerde academische instellingen deze week om hun DNS (Domain Name System) en netwerkconfiguraties te herzien om te voorkomen dat hun systemen misbruikt worden om DDoS-aanvallen te versterken.

"De REN- ISAC wil het bewustzijn verhogen en verandering teweegbrengen met betrekking tot gemeenschappelijke configuraties van netwerk- en domeinnaamsystemen (DNS) die niet voldoen aan de geaccepteerde beste praktijken en die, als ze niet worden gecontroleerd, de deur openen voor uw instelling wordt uitgebuit als een onwetende partner om denial of service-aanvallen tegen derden te verlammen, "zei Doug Pearson, technisch directeur van REN-ISAC, in een waarschuwing die woensdag naar de leden van de organisatie is gestuurd.

[Lees meer: ​​Hoe verwijder malware van uw Windows-pc]

De leden van REN-ISAC omvatten meer dan 350 universiteiten, hogescholen en onderzoekscentra uit de VS, Canada, Australië, Nieuw-Zeeland en Zweden.

De DDoS-aanvallen waarnaar Pearson verwijst, staan ​​bekend als DNS-versterking of DNS-reflectie-aanvallen en betrekken het verzenden van DNS-query's met een vervalst IP (Internet Protocol) -adres naar recursieve DNS-resolvers die vragen van buiten hun netwerken accepteren.

Deze vervalste verzoeken resulteren in aanzienlijk grotere antwoorden die door de bevraagde "open" worden verzonden. "DNS-resolvers naar de IP-adressen van de beoogde slachtoffers, overspoelen ze met ongewenst verkeer.

Deze aanvalsmethode is al vele jaren bekend en werd recentelijk gebruikt om een ​​DDoS-aanval van uncpreceden te lanceren. ted-schaal die naar verluidt een piek bereikte bij meer dan 300 Gbps tegen een spambestrijdende organisatie genaamd Spamhaus.

Melissa Riofrio

"Om dat in een context te plaatsen, verbinden de meeste universiteiten en organisaties zich met internet op 1 Gbps of minder," zei Pearson. "Bij dit incident is niet alleen het beoogde slachtoffer kreupel gemaakt, ook internetproviders en beveiligingsserviceproviders die de aanval probeerden te verzachten, werden negatief beïnvloed."

"De gemeenschap voor hoger onderwijs en onderzoek moet zijn steentje bijdragen om ervoor te zorgen dat we niet om deze aanvallen te vergemakkelijken ", aldus Pearson.

De aanbevelingen omvatten het configureren van recursieve DNS-resolvers om alleen toegankelijk te zijn vanuit de netwerken van de organisatie, het afdwingen van query-snelheidslimieten voor gezaghebbende DNS-servers die moeten worden bevraagd van externe netwerken en om implementeer de anti-spoofing netwerkfiltermethoden die zijn gedefinieerd in IETF's Best Current Practice (BCP) 38-document.

Het is bewonderenswaardig dat REN-ISAC deze stap zet o f om zijn leden op de hoogte te stellen en hen te informeren over dit probleem, zei Roland Dobbins, een senior analist in het team voor beveiligingstechnieken en -respons bij DDoS-mitigation-leverancier Arbor Networks. Andere brancheverenigingen zouden dat ook moeten doen, zei hij.

Van nature hebben academische instellingen de neiging om meer open te zijn met hun toegangsbeleid en niet noodzakelijk alles zodanig te verharden dat hun servers niet kunnen worden misbruikt, Zei Dobbins. Arbor heeft open DNS-resolvers gezien op allerlei soorten netwerken, waaronder educatieve, die werden gebruikt om DNS-reflectie-aanvallen te lanceren, zei hij.

Het is echter belangrijk om te begrijpen dat DNS-reflectie-aanvallen slechts één type amplificatie-aanval zijn, zei Dobbins.. Andere protocollen zoals SNMP (Simple Network Management Protocol) en NTP (Network Time Protocol) kunnen op een vergelijkbare manier worden misbruikt, zei hij.

Het beveiligen en correct configureren van DNS-servers is belangrijk, maar het is nog belangrijker om BCP 38 te implementeren, zei Dobbins. Anti-spoofing moet worden toegepast op alle internetgerichte netwerken, zodat vervalste pakketten niet van deze netwerken afkomstig kunnen zijn. "Hoe dichter we bij de universele toepassing van BCP 38 komen, hoe moeilijker het wordt voor aanvallers om DDoS-amplificatie-aanvallen van welke aard dan ook te starten."