Дейв Пищителло, от имени Отдела безопасности ICANN
В последние недели многочисленные известные организации и финансовые учреждения подверглись массированным атакам, нацеленным на прерывание обслуживания. Несколько этих атак по своему характеру аналогичны атакам на серверы доменных имен верхнего уровня в 2006 году. Консультативный комитет ICANN по безопасности и стабильности опубликовал консультативное заключение SAC008 [PDF, 963 КБ]: Распределенные атаки типа «отказ в обслуживании» (DDoS), вскоре после происшествий 2006 г. Рекомендации этого консультативного заключения сохраняют свою актуальность.
Мы рекомендуем частным организациям, операторам услуг и правительствам внимательно рассмотреть содержащиеся в SAC 008 рекомендации, которые описывают наилучшие из известных средств смягчения последствий DDoS-атак.
«к наиболее эффективным средствам смягчения последствий… многочисленных DoS-атак относится внедрение проверки IP-адреса источника» – SAC008
Во время DDoS-атак широко используются IP-адреса, которые не были выделены абоненту, или IP-адреса из зарезервированного/частного пространства, чтобы затруднить идентификацию источников трафика, используемого для атаки. Это называется IP-спуфингом. В системах доступа поставщиков услуг или корпораций для предотвращения спуфинга следует применять фильтрацию на входе сети (которая описана в документе SAC004 и рекомендована Советом по архитектуре Интернета (IAB) в документе BCP038. Подавление используемого для атаки трафика рядом с его источниками дает дополнительное преимущество, освобождая поставщиков интернет-услуг (ISP) от пересылки вредоносного или криминального трафика. Фильтрация каждым оператором поддельных адресов источников принесет пользу всем, кроме организаторов атак.
«Задокументировать относящиеся к мерам противодействия рабочие политики… для защиты [вашей] инфраструктуры серверов имен от атак, угрожающих [вашей] возможности предлагать услуги, уведомлять о применении таких мер и определять действия, которые должны предпринять затронутые стороны для прекращения применения этих мер.» – SAC008
Недавно я написал статью «Подготовка к (неизбежной) DDoS-атаке», в которой описан порядок разработки политик и подготовки вашей организации к реагированию на возможную атаку.
«отключить на серверах имен открытую рекурсию из внешних источников и принимать только DNS-запросы из надежных источников, чтобы содействовать уменьшению векторов усиления DDoS-атак на DNS» – SAC008
Когда на сервере DNS включена открытая рекурсия, этот сервер принимает DNS-запросы от любого клиента (любого IP-адреса источника). Злоумышленники используют серверы с открытой рекурсией для DDoS-атак и атак с усилением. В предупреждении группы US‑CERT TA13-088A всем операторам DNS рекомендовано:
- отключить рекурсию на полномочных серверах имен;
- ограничить рекурсию кругом авторизованных клиентов; и
- ограничить скорость передачи ответов рекурсивными серверами имен.
В предупреждении TA13-088A также определены способы, позволяющие каждой организация проверить, являются ли какие-либо из ее серверов имен открытыми преобразователями имен в адреса, и перечислены источники, в которых описано, как это сделать для основных операционных систем и основного программного обеспечения серверов имен. (Примечание: в документе TA13-088A не указан источник для сервера Microsoft DNS, попробуйте получить необходимые сведения здесь.)
Отдел безопасности ICANN призывает вас помочь снизить эту растущую угрозу безопасности, стабильности и отказоустойчивости.