ISAC muốn nâng cao nhận thức và thúc đẩy sự thay đổi liên quan đến các cấu hình mạng và hệ thống tên miền phổ biến, không được chấp nhận, và nếu không được đánh dấu, hãy mở cửa cho tổ chức của bạn được khai thác như một đối tác không mong muốn để làm tê liệt các cuộc tấn công từ chối dịch vụ chống lại các bên thứ ba, "Doug Pearson, giám đốc kỹ thuật của REN-ISAC, trong một cảnh báo đã gửi thứ tư cho các thành viên của tổ chức.

Các thành viên của REN-ISAC bao gồm hơn 350 trường đại học, cao đẳng và trung tâm nghiên cứu từ Mỹ, Canada, Úc, New Zealand và Thụy Điển.

Các cuộc tấn công DDoS Pearson được gọi là khuếch đại DNS hoặc các cuộc tấn công phản chiếu DNS và liên quan đến việc gửi các truy vấn DNS với địa chỉ IP giả mạo (Internet Protocol) đến các trình phân giải DNS đệ quy chấp nhận các truy vấn từ bên ngoài mạng của chúng.

Các yêu cầu giả mạo này dẫn đến các phản hồi lớn hơn đáng kể được gửi bởi truy vấn "DNS phân giải tới địa chỉ IP của các nạn nhân dự định, làm ngập chúng với lưu lượng không mong muốn.

Phương pháp tấn công này đã được biết đến trong nhiều năm và gần đây đã được sử dụng để khởi động một cuộc tấn công DDoS của người chưa từng có Pearson cho biết, quy mô ted đạt mức cao hơn 300Gbps so với một tổ chức chống spam được gọi là Spamhaus.

Melissa Riofrio

"Nói cách khác, hầu hết các trường đại học và tổ chức kết nối Internet với tốc độ 1Gbps trở xuống". "Trong vụ việc này không chỉ là nạn nhân dự kiến ​​làm tê liệt, các nhà cung cấp dịch vụ Internet và các nhà cung cấp dịch vụ an ninh đang cố gắng giảm thiểu cuộc tấn công đã bị ảnh hưởng bất lợi.

" Cộng đồng nghiên cứu và giáo dục cao hơn cần phải làm một phần để đảm bảo rằng chúng tôi không "Pearson cho biết.

REN-ISAC đã phát hành hai phiên bản cảnh báo, một phiên bản dành cho các CIO chứa thông tin tổng quát về mối đe dọa, và một hướng dẫn về nhân viên bảo mật, cũng như mạng và DNS

Các khuyến nghị bao gồm cấu hình các giải quyết DNS đệ quy để chỉ có thể truy cập từ mạng của tổ chức, thực thi giới hạn tốc độ truy vấn cho các máy chủ DNS có thẩm quyền cần được truy vấn từ các mạng bên ngoài và thực hiện các phương pháp lọc mạng chống giả mạo được định nghĩa trong tài liệu thực hành tốt nhất của IETF (BCP) 38.

Thật đáng ngưỡng mộ rằng REN-ISAC đang thực hiện bước này o f thông báo cho các thành viên của mình và giáo dục họ về vấn đề này, Roland Dobbins, một nhà phân tích cao cấp trong đội ngũ kỹ thuật an ninh và phản ứng tại nhà cung cấp DDoS giảm nhẹ Arbor Networks cho biết. Các hiệp hội ngành công nghiệp khác cũng nên làm như vậy, Theo bản chất, các tổ chức học thuật có khuynh hướng cởi mở hơn với các chính sách truy cập của họ và không nhất thiết phải làm cứng mọi thứ để đảm bảo máy chủ của họ không bị lạm dụng, Dobbins nói. Arbor đã thấy các giải pháp DNS mở trên tất cả các loại mạng bao gồm cả các mạng giáo dục, được sử dụng để khởi động các cuộc tấn công phản chiếu DNS, tuy nhiên, điều quan trọng là phải hiểu rằng các tấn công phản xạ DNS chỉ là một kiểu tấn công khuếch đại, Dobbins nói. Các giao thức khác bao gồm SNMP (Giao thức quản lý mạng đơn giản) và NTP (Giao thức thời gian mạng) có thể bị lạm dụng theo cách tương tự, ông nói.Việc bảo mật và cấu hình đúng các máy chủ DNS là quan trọng, nhưng việc triển khai BCP 38 là quan trọng hơn, Dobbins nói. Chống giả mạo nên được áp dụng trên tất cả các mạng phải đối mặt với Internet để các gói giả mạo không thể bắt nguồn từ chúng. "Càng gần với ứng dụng phổ biến của BCP 38, thì càng khó để kẻ tấn công khởi động các cuộc tấn công khuếch đại DDoS dưới bất kỳ hình thức nào."