学院和大学被鼓励检查他们的系统,以防止他们被DDoS(分布式拒绝服务)攻击劫持。
[也:你应该试试10个免费的安全工具]
研究和教育网络信息共享和分析中心(REN-ISAC)本周建议学术机构审查他们的DNS(域名系统)和网络配置,以防止他们的系统被滥用来扩大DDoS攻击。
“REN-ISAC想要提高认识和推动改变有关公共网络和域名系统(DNS)配置,缺乏公认的最佳实践,如果任其发展,为你开门机构被利用作为一个不知情的伙伴对第三方严重的拒绝服务攻击,”道格·皮尔森说,REN-ISAC的技术总监一个警告周三发给了该组织的成员。
reni - isac的成员包括来自美国、加拿大、澳大利亚、新西兰和瑞典的350多所大学、学院和研究中心。
皮尔森所指的DDoS攻击称为DNS放大攻击或DNS反射攻击,包括向接受网络外部查询的递归DNS解析器发送带有欺骗IP(互联网协议)地址的DNS查询。
这些欺骗请求导致被查询的“open”DNS解析器向目标受害者的IP地址发送了相当大的响应,使它们充满了不必要的流量。
这种攻击方法多年来一直为人所知,最近也被用于发射规模空前的DDoS攻击据报道,在与一个名为Spamhaus的垃圾邮件组织的对抗中,这一数字最高达到了300Gbps。
皮尔逊说:“从实际情况来看,大多数大学和机构连接互联网的速度都不超过1gbps。”“在这起事件中,不仅目标受害者瘫痪,试图减轻攻击的互联网服务提供商和安全服务提供商也受到了不利影响。”
皮尔逊说:“高等教育和研究界需要尽其所能,确保我们不会为这些攻击提供便利。”
REN-ISAC发布了两个版本的警告,一个是针对cio的,包含更多关于威胁的一般性信息,另一个是针对IT安全人员以及网络和DNS管理员的,包含如何缓解问题的技术建议。
建议包括配置递归DNS解析器,使其仅可从组织的网络访问,对确实需要从外部网络查询的权威DNS服务器实施查询率限制,以及实现中定义的抗欺骗网络过滤方法IETF的最佳当前实践(BCP) 38文档。
DDoS缓解供应商Arbor Networks的安全工程和响应团队的高级分析师Roland Dobbins说,reni - isac采取通知其成员和教育他们这个问题的这一步骤是令人钦佩的。他说,其他行业协会也应该这样做。
Dobbins说,从本质上讲,学术机构倾向于在访问政策上更加开放,并没有必要在确保其服务器不被滥用的程度上硬化一切。Arbor说,包括教育类网络在内的各种网络上都有开放的DNS解析器,这些解析器被用来发起DNS反射攻击。
不过Dobbins说,DNS反射攻击只是放大攻击的一种,理解这一点很重要。他说,其他协议,包括SNMP(简单网络管理协议)和NTP(网络时间协议),也可能以类似的方式被滥用。
Dobbins说,保护和正确配置DNS服务器很重要,但实现BCP 38更重要。反欺骗干扰应该应用于所有面向internet的网络,这样欺骗包就不能从这些网络中发出。“我们越接近BCP 38的通用应用,攻击者发动任何类型的DDoS放大攻击就越困难。”