正在鼓励学院和大学仔细审查他们的系统,以防止它们被DDoS(分布式拒绝服务)攻击劫持。教育网络信息共享和分析中心(REN-ISAC)本周建议学术机构审查他们的DNS(域名系统)和网络配置,以防止他们的系统被滥用以放大DDoS攻击。
“REN- ISAC希望提高人们的认识并推动有关通用网络和域名系统(DNS)配置的变革,这些配置缺乏公认的最佳做法,如果放任不管,最好打开大门你的机构将被利用作为一个不知情的合作伙伴来削弱对第三方的拒绝服务攻击,“REN-ISAC的技术总监Doug Pearson在周三向该组织成员发送的一份警告中表示。
[进一步阅读:如何从您的Windows PC中删除恶意软件]
Pearson的DDoS攻击指的是被称为DNS放大或DNS反射攻击,并且涉及将具有欺骗性IP(互联网协议)地址的DNS查询发送到接受来自其网络之外的查询的递归DNS解析器。
这些欺骗性请求导致由查询“open “DNS解析器可以解析目标受害者的IP地址,并将它们淹没在不必要的流量中。
这种攻击方法早已为人所知,最近被用于发起一次前所未有的DDoS攻击据报道,这个规模达到了300Gbps以上的速度,与一家名为Spamhaus的垃圾邮件控制组织达成了高峰。
Melissa Riofrio
“高等教育和研究界需要尽全力确保我们不会Pearson说:
REN-ISAC发布了两个版本的警报,一个针对CIO的警报,其中包含有关威胁的更多一般信息,一个针对IT安全人员,以及网络和DNS管理员,其中包含有关如何缓解问题的技术建议。
建议包括将递归DNS解析器配置为仅可从组织网络访问,为需要从外部网络查询的权威DNS服务器强制实施查询速率限制,以及实施IETF最佳实践(BCP)38文件中定义的反欺骗网络过滤方法
REN-ISAC正在采取这一步骤令人钦佩f通知其成员并向他们讲解这个问题,DDoS缓解厂商Arbor Networks的安全工程和响应团队的高级分析师Roland Dobbins说。他说,其他行业协会也应该这样做。根据它们的性质,学术机构往往对他们的访问政策更加开放,并且不一定会把所有事情都强化到一定程度,以确保他们的服务器不会被滥用,多宾斯说。他说,Arbor已经在包括教育网络在内的各种网络上看到了开放的DNS解析器,这些网络用于发起DNS反射攻击。然而,理解DNS反射攻击只是一种放大攻击是很重要的,Dobbins说。他说,包括SNMP(简单网络管理协议)和NTP(网络时间协议)在内的其他协议也可能以类似的方式被滥用。Dobbins说,保护并正确配置DNS服务器非常重要,但实施BCP 38更为重要。所有面向互联网的网络都应使用反欺骗,以防欺骗数据包不能从它们发出。 “越接近BCP 38的普遍应用,攻击者就越难发起任何类型的DDoS放大攻击。”
