Akademische Institutionen werden aufgefordert, Schritte zur Verhinderung von DNS-Amplifikationsangriffen zu unternehmen

Hochschulen und Universitäten werden ermutigt, ihre Systeme zu hinterfragen, damit sie nicht in DDoS-Attacken (Distributed Denial-of-Service) verwickelt werden.

The Research and Das Information Networking Sharing and Analysis Center (REN-ISAC) für Bildungsnetzwerke hat akademische Einrichtungen diese Woche gebeten, ihre DNS (Domain Name System) und Netzwerkkonfigurationen zu überprüfen, um zu verhindern, dass ihre Systeme DDoS-Attacken verstärken.

Der ISAC möchte das Bewusstsein für Veränderungen im Hinblick auf gängige Netzwerk- und DNS-Konfigurationen (Domain Name System) schärfen, die hinter den anerkannten Best Practices zurückbleiben und, wenn sie nicht kontrolliert werden, die Tür öffnen Ihre Institution wird als unwissender Partner für lähmende Denial-of-Service-Angriffe gegen Dritte missbraucht ", sagte Doug Pearson, technischer Direktor von REN-ISAC, am Mittwoch in einer Warnung an die Mitglieder der Organisation.

[Weitere Informationen: Wie? entfernen Sie Malware von Ihrem Windows-PC]

Zu ​​den Mitgliedern von REN-ISAC gehören über 350 Universitäten, Hochschulen und Forschungszentren aus den USA, Kanada, Australien, Neuseeland und Schweden.

Die DDoS-Angriffe werden von Pearson als DNS-Verstärkung bezeichnet oder DNS-Reflektionsangriffe und beinhalten das Senden von DNS-Abfragen mit einer gefälschten IP-Adresse (Internet Protocol) an rekursive DNS-Resolver, die Anfragen von außerhalb ihrer Netzwerke akzeptieren.

Diese gefälschten Anfragen führen zu erheblich größeren Antworten der abgefragten "offenen "DNS-Resolver zu den IP-Adressen der beabsichtigten Opfer, überflutet sie mit unerwünschtem Verkehr.

Diese Angriffsmethode ist seit vielen Jahren bekannt und wurde kürzlich verwendet, um eine DDoS-Attacke von beispielloser zu starten Diese Skala erreichte Berichten zufolge einen Spitzenwert von über 300 Gbit / s gegenüber einer Spam-bekämpfenden Organisation namens Spamhaus.

Melissa Riofrio

"Um dies in einen Zusammenhang zu stellen, sind die meisten Universitäten und Organisationen mit 1 Gbit / s oder weniger verbunden", sagte Pearson. "Bei diesem Vorfall wurde nicht nur das beabsichtigte Opfer verkrüppelt, sondern auch Internetdienstanbieter und Sicherheitsdienstanbieter, die versuchten, den Angriff abzuschwächen."

"Die Hochschul- und Forschungsgemeinschaft muss ihren Teil dazu beitragen, dass wir es nicht sind "Pearson sagte.

REN-ISAC gab zwei Versionen der Warnung heraus, eine für CIOs, die allgemeinere Informationen über die Bedrohung enthielten, und eine an IT-Sicherheitspersonal sowie an Netzwerk und DNS Administratoren mit technischen Hinweisen zur Minderung des Problems.

Die Empfehlungen beinhalteten die Konfiguration rekursiver DNS-Resolver, auf die nur von den Unternehmensnetzwerken aus zugegriffen werden kann. Dadurch werden für autoritative DNS-Server, die aus externen Netzwerken abgefragt werden müssen, Abfrageraten begrenzt Implementieren Sie die Anti-Spoofing-Netzwerkfiltermethoden, die im Best Practice (BCP) 38-Dokument der IETF definiert sind.

Es ist bewundernswert, dass REN-ISAC diesen Schritt unternimmt "Wir möchten unsere Mitglieder darüber informieren und sie über dieses Problem informieren", sagte Roland Dobbins, Senior Analyst im Security Engineering und Response Team des DDoS-Mitigations-Anbieters Arbor Networks. Andere Branchenverbände sollten das auch tun, sagte er.

Akademische Institutionen neigen ihrer Natur nach dazu, offener mit ihren Zugangsrichtlinien zu sein und haben nicht notwendigerweise alles so gehärtet, dass ihre Server nicht missbraucht werden können Sagte Dobbins. Arbor habe offene DNS-Resolver in allen Arten von Netzwerken gesehen, darunter auch in Bildungseinrichtungen, die DNS-Reflektionsangriffe starteten.

Es ist jedoch wichtig zu verstehen, dass DNS-Reflektionsattacken nur eine Art von Verstärkungsattacken sind, sagte Dobbins. Andere Protokolle wie SNMP (Simple Network Management Protocol) und NTP (Network Time Protocol) könnten auf ähnliche Weise missbraucht werden, sagte er.

Die Sicherung und ordnungsgemäße Konfiguration von DNS-Servern ist wichtig, aber es ist noch wichtiger, BCP 38 zu implementieren, sagte Dobbins. Anti-Spoofing sollte in allen Internet-Netzwerken angewendet werden, damit gefälschte Pakete nicht von ihnen stammen können. "Je näher wir der universellen Anwendung von BCP 38 kommen, desto schwieriger wird es für Angreifer, DDoS-Amplifikationsangriffe jeglicher Art zu starten."