Instituições acadêmicas incitadas a tomar medidas para prevenir ataques de amplificação do DNS

Faculdades e universidades estão sendo encorajadas a examinar seus sistemas para evitar que sejam sequestrados em ataques DDoS (negação de serviço distribuída).

A Pesquisa e O Centro de Partilha e Análise de Informação sobre Redes de Educação (REN-ISAC) aconselhou esta semana instituições académicas a rever as suas configurações de rede e DNS (Sistema de Nomes de Domínio) para evitar que os seus sistemas sejam abusados ​​para amplificar os ataques DDoS. O ISAC quer aumentar a conscientização e promover mudanças em configurações comuns de rede e sistema de nomes de domínio (DNS) que não são aceitas pelas melhores práticas e que, se não forem verificadas, abrirão as portas para a sua instituição deve ser explorada como um parceiro involuntário para ataques incapacitantes de negação de serviço contra terceiros ", disse Doug Pearson, diretor técnico da REN-ISAC, em um alerta enviado quarta-feira aos membros da organização.

remover malwares do seu PC Windows]

Os membros da REN-ISAC incluem mais de 350 universidades, faculdades e centros de pesquisa dos EUA, Canadá, Austrália, Nova Zelândia e Suécia.

Os ataques DDoS a que Pearson se refere são conhecidos como amplificação de DNS ou ataques de reflexão de DNS e envolvem o envio de consultas DNS com um endereço falsificado de IP (Internet Protocol) para resolvedores DNS recursivos que aceitam consultas de fora de suas redes.

Essas solicitações falsificadas resultam em respostas consideravelmente maiores enviadas pela consulta "aberta "Resolvedores de DNS para os endereços IP das vítimas pretendidas, inundando-os com tráfego indesejado.

Este método de ataque é conhecido há muitos anos e foi recentemente usado para lançar um ataque DDoS sem precedentes. Escala que supostamente atingiu o pico em mais de 300Gbps contra uma organização de combate ao spam chamada Spamhaus.

Melissa Riofrio

"Para colocar isso em contexto, a maioria das universidades e organizações se conectam à Internet em 1Gbps ou menos", disse Pearson. "Neste incidente não apenas a vítima foi prejudicada, os provedores de serviços de Internet e provedores de serviços de segurança que tentaram mitigar o ataque foram negativamente afetados."

"A comunidade de ensino superior e pesquisa precisa fazer sua parte para garantir que não ajudando a facilitar esses ataques ", disse Pearson.

O REN-ISAC emitiu duas versões do alerta, uma voltada para os CIOs que continham informações mais gerais sobre a ameaça e uma voltada para a equipe de segurança de TI, bem como rede e DNS.

As recomendações incluíram a configuração de resolvedores DNS recursivos para serem acessados ​​apenas pelas redes da organização, impondo limites de taxa de consulta para servidores DNS autoritativos que precisam ser consultados de redes externas e para implementar os métodos de filtragem de rede anti-spoofing definidos no documento da Best Current Practice (BCP) 38 da IETF

É admirável que a REN-ISAC esteja dando este passo. notificando seus membros e educando-os sobre esse problema, disse Roland Dobbins, analista sênior da equipe de engenharia e resposta de segurança do fornecedor de mitigação de DDoS Arbor Networks. Outras associações do setor deveriam fazê-lo também, disse ele.

Pela sua natureza, as instituições acadêmicas tendem a ser mais abertas com suas políticas de acesso e não necessariamente endureceram tudo a ponto de garantir que seus servidores não pudessem ser abusados., Disse Dobbins. Arbor viu os resolvedores de DNS abertos em todos os tipos de redes, incluindo os educacionais, que foram usados ​​para lançar ataques de reflexão do DNS, disse ele. No entanto, é importante entender que os ataques de reflexão do DNS são apenas um tipo de ataque de amplificação, disse Dobbins.. Outros protocolos, incluindo SNMP (Simple Network Management Protocol) e NTP (Network Time Protocol), podem ser utilizados de forma semelhante, disse ele.Proteger e configurar corretamente os servidores DNS é importante, mas é ainda mais importante implementar o BCP 38, disse Dobbins. O anti-spoofing deve ser aplicado em todas as redes voltadas para a Internet, para que os pacotes falsificados não possam se originar deles. "Quanto mais nos aproximamos da aplicação universal do BCP 38, mais difícil se torna para os invasores lançarem ataques de amplificação DDoS de qualquer tipo."