학술 기관은 DNS 증폭 공격을 방지하기위한 조치를 취할 것을 촉구 함

교육 네트워크 정보 공유 및 분석 센터 (REN-ISAC)는 이번 주 교육 기관에 DDoS 공격을 확대하기 위해 시스템이 악용되는 것을 방지하기 위해 DNS (Domain Name System) 및 네트워크 구성을 검토 할 것을 권고했습니다.

"REN- ISAC은 일반적인 네트워크 및 DNS (Domain Name System) 구성에 대한 인식을 제고하고 변화를 유도하기를 원합니다. 이러한 구성은 승인 된 모범 사례에 미치지 못하며, 선택하지 않으면 귀하의 기관은 제 3 자에 대한 서비스 거부 공격을 무분별하게 해치는 파트너로 악용 될 것입니다 "라고 REN-ISAC의 기술 책임자 인 Doug Pearson은 수요일에 조직 회원들에게 보낸 경고 서를 통해 밝혔다.

[추가 정보: How to Windows PC에서 멀웨어 제거] REN-ISAC의 회원은 미국, 캐나다, 오스트레일리아, 뉴질랜드 및 스웨덴의 350 개가 넘는 대학, 대학 및 연구 센터를 포함합니다.

피어슨이 말하는 DDoS 공격은 DNS 증폭 또는 DNS 리플렉션 공격을 포함하고 스푸핑 된 IP (인터넷 프로토콜) 주소를 사용하는 DNS 쿼리를 네트워크 외부에서 쿼리를 수락하는 재귀 DNS 확인자에게 보내는 작업이 포함됩니다. 이러한 스푸핑 된 요청은 쿼리 된 "open "DNS 리졸버가 의도 된 희생자의 IP 주소로 침입하여 원치 않는 트래픽으로 넘치게됩니다.

이 공격 방법은 수년 동안 알려져 왔으며 최근에는 예기치 않은 공격에 대한 DDoS 공격을 시작하는 데 사용되었습니다 스팸 하우스 (Spamhaus)라고 불리는 스팸 퇴치 단체와 300Gbps 이상으로 정점에 이른 것으로 알려졌다.

멜리사 리오 프리 오 (Melissa Riofrio)

"맥락에서 말하면, 대부분의 대학과 단체는 1Gbps 이하로 인터넷에 연결된다. "이 사건에서 의도 된 희생자가 불구가되었을뿐 아니라 공격을 완화하려는 인터넷 서비스 제공 업체와 보안 서비스 제공 업체가 악영향을 미쳤습니다." "고등 교육 및 연구 커뮤니티는 우리가 "960> REN-ISAC은 위협에 대한보다 일반적인 정보가 포함 된 CIO 및 네트워크 및 DNS뿐 아니라 IT 보안 담당자를 대상으로 한 두 가지 버전의 경고를 발행했습니다. 관리자는 문제를 완화하는 방법에 대한 기술적 조언을 제공합니다.

권장 사항에는 조직의 네트워크에서만 액세스 할 수있는 재귀 DNS 확인자 구성, 외부 네트워크에서 쿼리해야하는 권한있는 DNS 서버에 대한 쿼리 속도 제한 적용 및 IETF의 Best Current Practice (BCP) 38 문서에 정의 된 스푸핑 방지 네트워크 필터링 방법을 구현하십시오.

REN-ISAC이이 단계를 수행하고 있습니다. DDoS 완화 벤더 인 Arbor Networks의 보안 엔지니어링 및 대응 팀 수석 분석가 인 롤랜드도 빈스 (Roland Dobbins)는 회원들에게이 사실을 알리고 이들에게이 문제를 교육한다고 전했다. 성격 상, 학술 기관은 액세스 정책에 대해 더 개방적 인 경향이 있으며, 서버를 악용 할 수 없도록 모든 것을 강화하지는 않습니다. 라고 Dobbins가 말했다. Arbor는 DNS 리플렉션 공격을 시작하기 위해 사용 된 교육용 네트워크를 포함하여 모든 종류의 네트워크에서 개방형 DNS 확인자를 보았다고 말했다. 그러나 DNS 반사 공격은 증폭 공격의 한 유형 일 뿐이라는 것을 이해하는 것이 중요하다고 Dobbins는 말했습니다. SNMP (Simple Network Management Protocol)와 NTP (Network Time Protocol)를 포함한 다른 프로토콜도 비슷한 방식으로 악용 될 수 있다고 그는 말했다.

DNS 서버를 안전하게 보호하고 올바르게 구성하는 것이 중요하지만 BCP 38을 구현하는 것이 더욱 중요하다고 Dobbins는 말했습니다. 안티 스푸핑은 모든 인터넷 연결 네트워크에 적용되어야 스푸핑 된 패킷이 네트워크에서 유래하지 않습니다. "BCP 38을 보편적으로 적용할수록 공격자가 DDoS 증폭 공격을 시작하는 것이 어려워집니다."