Bolt Saltwater Room
大学および大学は、DDoS(分散サービス拒否攻撃)攻撃からハイジャックされるのを防ぐため、システムを精査するよう奨励されています。教育ネットワーキング情報流通分析センター(REN-ISAC)は、DDoS攻撃を増幅するためにシステムが悪用されるのを防ぐために、今週学術機関にDNS(Domain Name System)とネットワーク構成を見直すように助言した。
ISACは、一般的なネットワークとドメインネームシステム(DNS)の構成に関する認知度を高め、変更を推進したいと考えています。 REN-ISACのテクニカルディレクターであるDoug Pearson氏は、水曜日に組織のメンバーに警告を出して、「あなたの機関が第三者に対する致命的なサービス拒否攻撃を受けていないパートナーとして悪用される可能性がある」と述べています。あなたのWindows PCからマルウェアを削除する]
REN-ISACのメンバーには、米国、カナダ、オーストラリア、ニュージーランド、スウェーデンの350以上の大学、カレッジ、研究センターが含まれています。またはDNSリフレクション攻撃を使用し、偽装されたIP(インターネットプロトコル)アドレスを持つDNSクエリを、ネットワークの外部からのクエリを受け入れる再帰DNSリゾルバに送信することを含む。 DNSリゾルバが意図した犠牲者のIPアドレスに到達し、それらに望ましくないトラフィックが氾濫します。
Melissa Riofrio
「これをコンテキストにするために、ほとんどの大学や組織は1Gbps以下でインターネットに接続しています」とピアソン氏は述べています。この事件では、意図した被害者が不自由なだけでなく、攻撃を緩和しようとしているインターネットサービスプロバイダーやセキュリティサービスプロバイダが悪影響を受けていました」と述べています。
「教育と研究の高等教育機関は、 REN-ISACは2つのバージョンのアラートを発行しました.1つは、脅威に関するより一般的な情報を含むCIOと、ITセキュリティスタッフとネットワークとDNSに向けられたものです
再帰的DNSリゾルバを組織のネットワークからのみアクセスできるように構成し、外部ネットワークから照会する必要がある権限のあるDNSサーバのクエリレート制限を実施し、 IETFのBest Current Practice(BCP)38文書で定義されているスプーフィング防止ネットワークフィルタリング方法を実装してください。
その性質上、学術機関はアクセスポリシーによりオープンな傾向があり、サーバーを悪用できない程度にすべてを強化するとは限らない、Dobbinsは言った。 Arbor氏は、DNS反射攻撃を開始するために使用された、教育用のものを含むあらゆる種類のネットワーク上でオープンDNSリゾルバを見てきた、と彼は言いました。しかし、DNS反射攻撃は増幅攻撃の一種に過ぎないことを理解することが重要です。 。 SNMP(簡易ネットワーク管理プロトコル)とNTP(ネットワークタイムプロトコル)を含む他のプロトコルも同様の方法で悪用される可能性がある、と彼は言った。
DNSサーバーのセキュリティを確保し、適切に構成することは重要ですが、BCP 38を実装することがさらに重要になると、Dobbins氏は述べています。アンチスプーフィングは、インターネットに接続されたすべてのネットワークに適用し、スプーフィングされたパケットがそれらから発信されないようにする必要があります。 BCP 38の普遍的な適用に近づくほど、攻撃者はあらゆる種類のDDoS増幅攻撃を開始することが難しくなります。」