Windows

Institusi akademis mendesak untuk mengambil langkah-langkah untuk mencegah serangan amplifikasi DNS

Terjerat Riba Dan Ingin Menutupnya Tapi Tidak Ada Dana - Ustadz Ammi Nur Baits.

Terjerat Riba Dan Ingin Menutupnya Tapi Tidak Ada Dana - Ustadz Ammi Nur Baits.
Anonim

Perguruan tinggi dan universitas didorong untuk meneliti sistem mereka agar mereka tidak dibajak dalam serangan DDoS (distributed denial-of-service).

Penelitian dan Pusat Berbagi Informasi dan Analisis Pendidikan Jaringan (REN-ISAC) menyarankan institusi akademik minggu ini untuk meninjau DNS (Sistem Nama Domain) dan konfigurasi jaringan mereka untuk mencegah sistem mereka disalahgunakan untuk memperkuat serangan DDoS.

"The REN- ISAC ingin meningkatkan kesadaran dan mendorong perubahan mengenai konfigurasi jaringan dan sistem nama domain (DNS) umum yang tidak memenuhi praktik terbaik yang diterima, yang jika dibiarkan, membuka pintu untuk institusi Anda akan dieksploitasi sebagai mitra yang tidak disadari untuk melumpuhkan penolakan serangan layanan terhadap pihak ketiga, "kata Doug Pearson, direktur teknis REN-ISAC, dalam peringatan yang dikirim Rabu kepada anggota organisasi.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Anggota REN-ISAC mencakup lebih dari 350 universitas, akademi, dan pusat penelitian dari AS, Kanada, Australia, Selandia Baru, dan Swedia.

Serangan DDoS Pearson mengacu dikenal sebagai amplifikasi DNS atau serangan refleksi DNS dan melibatkan pengiriman kueri DNS dengan alamat IP (Internet Protocol) palsu ke pemecah DNS rekursif yang menerima kueri dari luar jaringan mereka.

Permintaan palsu ini menghasilkan respons yang jauh lebih besar yang dikirim oleh "buka" yang ditanyakan "Penyelesai DNS ke alamat IP dari korban yang dituju, membanjiri mereka dengan lalu lintas yang tidak diinginkan.

Metode serangan ini telah dikenal selama bertahun-tahun dan baru-baru ini digunakan untuk meluncurkan serangan DDoS yang belum pernah terjadi sebelumnya. Skala ted yang dilaporkan mencapai lebih dari 300Gbps melawan organisasi yang memerangi spam bernama Spamhaus.

Melissa Riofrio

"Untuk menempatkannya dalam konteks, sebagian besar universitas dan organisasi terhubung ke Internet pada 1Gbps atau kurang," kata Pearson. "Dalam insiden ini tidak hanya korban yang ditelantarkan, penyedia layanan Internet dan penyedia layanan keamanan yang berusaha untuk mengurangi serangan itu terkena dampak yang merugikan."

"Komunitas pendidikan tinggi dan penelitian perlu melakukan bagiannya untuk memastikan bahwa kami tidak membantu memfasilitasi serangan-serangan ini, "kata Pearson.

REN-ISAC mengeluarkan dua versi peringatan, yang dimaksudkan untuk CIO yang berisi lebih banyak informasi umum tentang ancaman, dan satu diarahkan pada staf keamanan IT, serta jaringan dan DNS administrator, yang berisi saran teknis tentang cara mengurangi masalah.

Rekomendasi termasuk mengkonfigurasi pengatur DNS rekursif agar hanya dapat diakses dari jaringan organisasi, menerapkan batas tingkat permintaan untuk server DNS otoritatif yang perlu ditanyakan dari jaringan eksternal dan ke menerapkan metode penyaringan jaringan anti-spoofing yang didefinisikan dalam dokumen IETF Best Current Practice (BCP) 38.

Sungguh mengagumkan bahwa REN-ISAC mengambil langkah ini Untuk memberi tahu anggotanya dan mendidik mereka tentang masalah ini, kata Roland Dobbins, seorang analis senior di bidang teknik keamanan dan tim tanggap di jaringan peramalan penduga DDoS, Arbor Networks. Asosiasi industri lainnya juga harus melakukannya, katanya.

Berdasarkan sifatnya, institusi akademis cenderung lebih terbuka dengan kebijakan akses mereka dan belum tentu mengeraskan segalanya sampai pada taraf tertentu yang akan memastikan server mereka tidak dapat disalahgunakan., Kata Dobbins. Arbor telah melihat resolver DNS terbuka pada semua jenis jaringan termasuk jaringan pendidikan, yang digunakan untuk meluncurkan serangan refleksi DNS, katanya.

Namun, penting untuk memahami bahwa serangan refleksi DNS hanya satu jenis serangan amplifikasi, kata Dobbins.. Protokol lain termasuk SNMP (Simple Network Management Protocol) dan NTP (Network Time Protocol) dapat disalahgunakan dengan cara yang sama, katanya.

Mengamankan dan mengkonfigurasi server DNS dengan benar adalah penting, tetapi yang lebih penting adalah menerapkan BCP 38, kata Dobbins. Anti-spoofing harus diterapkan pada semua jaringan yang menghadap Internet sehingga paket-paket palsu tidak dapat berasal dari mereka. "Semakin dekat kita sampai pada aplikasi universal BCP 38, semakin sulit bagi penyerang untuk meluncurkan serangan amplifikasi DDoS apa pun."