学术机构敦促采取措施防止DNS放大攻击

REN-ISAC建议成员保护其DNS服务器的安全并实施网络过滤以防止欺骗

鼓励高校仔细检查其系统,以防止其在DDoS(分布式拒绝服务)攻击中被劫持。

研究和教育网络信息共享和分析中心(REN-ISAC)本周建议学术机构审查其DNS(域名系统)和网络配置,以防止滥用其系统来放大DDoS攻击。

“ REN-ISAC希望提高人们对通用网络和域名系统(DNS)配置的认识并推动其变化,这些配置未达到公认的最佳实践,如果不加以限制,这将为您的机构打开大门,使其成为不知情的合作伙伴严重破坏针对第三方的拒绝服务攻击,” REN-ISAC技术总监道格·皮尔森(Doug Pearson)说道。 警报 已于周三发送给该组织的成员。

REN-ISAC的成员包括来自美国,加拿大,澳大利亚,新西兰和瑞典的350所大学,学院和研究中心。

皮尔逊(Pearson)所说的DDoS攻击称为DNS放大或DNS反射攻击,涉及将带有欺骗IP(Internet协议)地址的DNS查询发送到接受来自其网络外部的查询的递归DNS解析器。

这些欺骗的请求导致被查询的“开放” DNS解析器向目标受害者的IP地址发送的响应量大得多,从而给它们充斥了不必要的流量。

这种攻击方法已经有很多年了,最近被用于启动 前所未有的DDoS攻击 据报道,针对一家名为Spamhaus的反垃圾邮件组织的峰值达到了300Gbps以上。

皮尔森说:“从上下文来看,大多数大学和组织都以1 Gbps或更低的速度连接到Internet。” “在这一事件中,不仅使预期的受害者受了伤害,而且试图减轻攻击的互联网服务提供商和安全服务提供商也受到了不利影响。”

皮尔森说:“高等教育和研究界需要尽其所能,以确保我们不帮助促进这些袭击。”

REN-ISAC发出了两种版本的警报,一种用于CIO,其中包含有关威胁的更多常规信息,一种针对IT安全人员以及网络和DNS管理员,其中包含有关如何缓解问题的技术建议。

建议包括将递归DNS解析器配置为仅可从组织的网络访问,对确实需要从外部网络查询的权威DNS服务器实施查询速率限制,并实施在中定义的反欺骗网络过滤方法 IETF的最佳现行做法(BCP)38文件.

DDoS缓解供应商Arbor Networks安全工程和响应团队的高级分析师Roland Dobbins说,令人钦佩的是REN-ISAC正在采取步骤通知其成员并就此问题进行教育。他说,其他行业协会也应该这样做。

多宾斯说,就其性质而言,学术机构倾向于对访问政策更加开放,并不一定将所有内容强化到一定程度,以确保不会滥用其服务器。他说,Arbor已经在包括教育网络在内的各种网络上看到了开放的DNS解析器,这些解析器被用来发起DNS反射攻击。

但是,重要的是要了解DNS反射攻击只是一种放大攻击,Dobbins说。他说,包括SMTP(简单邮件传输协议)和NTP(网络时间协议)在内的其他协议也可能被滥用。

Dobbins说,保护和正确配置DNS服务器很重要,但是实施BCP 38甚至更为重要。应在所有面向Internet的网络上应用反欺骗,以使欺骗的数据包不能源自它们。 “我们越接近BCP 38的普遍应用,攻击者就越难发动任何形式的DDoS放大攻击。”

版权© 2013 IDG通讯,Inc.

  
在亚马逊上购买技术产品