ديف بيسكيتيلو، بالنيابة عن فريق أمان ICANN
في الأسابيع الأخير، كانت العديد من المنظمات والمؤسسات المالية الكبرى ذائعة الصيت هدفًا لهجمات شديدة من قطع الخدمة. وتتميز العديد من هذه الهجمات بمحاكاتها للهجمات ضد خوادم أسماء النطاقات من المستوى الأعلى في عام 2006. وقد نشرت اللجنة الاستشارية للأمن والاستقرار التابعة لـ ICANN تقريرًا استشاريًا، كيلوبايت SAC008 [PDF، 963 كيلوبايت]: هجمات رفض الخدمة الموزعة (DDoS) ، في أعقاب أحداث 2006 بفترة وجيزة. ولا تزال التوصيات الواردة في ذلك التقرير الاستشارية ذات صلة في هذه الآونة.
إننا نشجع المؤسسات الخاصة، ومشغلي الخدمات والحكومات على النظر بعناية في التوصيات الواردة من التقرير SAC 008، والذي يصف أفضل الطرق المعروفة في الحد من هجمات DDoS.
“أكثر الطرق فعالية في الحد من تأثير هجمات DoS المتعددة هو اعتماد توثيق عنوان IP المصدر” – SAC008
حيث تستخدم هجمات DDoS في العادة عناوين IP غير المخصصة للمشارك أو عناوين IP من المساحة المحجوزة/الخاصة لكي تجعل من الصعب تحديد مصادر مرور الهجمات. ويطلق على هذا النوع اسم انتحال عنوان IP. ويتوجب على موفري خدمات الوصول أو المؤسسات تطبيق تصفية لدخول الشبكة (والمشار إليه في التقرير SAC004 والذي توصي به مجلس هندسة الإنترنت في BCP038) للتغلب على الانتحال. والتغلب على مرور الهجمات بالقرب من مصادره أضيفت له ميزة إعفاء موفري خدمة الإنترنت من إرسال المرور الضار أو الإجرامي. فالكل يستفيد عند قيام كل مشغل بتصفية عناوين المصدر المنتحلة، باستثناء المهاجمين المزعومين.
“توثيق السياسات التشغيلية ذات الصلة بالتدابير العكسية من أجل حماية البنى التحتية لخادم الاسم [الخاص بك] ضد الهجمات التي تهدد [قدرتك] على تقديم الخدمة، وتقديم إشعار عند تنفيذ هذه التدابير، وتعريف الإجراءات التي يتوجب على الأطراف المتضررين اتخاذها للتخلص من الإجراءات”. – SAC008
وقد كتبت مقالاً في الآونة الأخيرة باسم، الاستعداد لهجمات DDoS (الحتمية) ، ويصف هذا المقال كيفية وضع السياسات وإعداد الردود في حالة تعرض مؤسستك للهجوم.
“تعطيل التكرار المفتوح على خوادم الاسم من مصادر خارجية وقبول استعلامات DNS فقط من المصادر الموثوقة للمساعدة في تقليل عوامل التضخيم لهجمات DDoS على DNS – تقرير SAC008
ففي حالة تمكين المعاودة المفتوحة على خادم DNS، يقوم هذا الخادم بقبول استعلامات DNS من أي عميل (أي عنوان مصدر IP). يقوم المهاجمون باستغلال الخوادم التكرارية في هجمات DDoS وهجمات التضخيم. يوصي تنبيه TA13-088A بأن يقوم جميع مشغلي DNS بما يلي:
- تعطيل التكرار على خوادم الأسماء الرسمية
- تقييد التكرار للعملاء المعتمدين
- ووضع حد للردود على خوادم الأسماء المتكررة
كما يوضح التنبيه TA13-088A طرقًا لكل مؤسسة لاختبار ما إذا كانت أي من خوادم الأسماء الخاصة بها تقوم بعملية الحل المفتوح أم لا، وتصنيف المصادر التي تصف كيفية القيام بذلك لنظام التشغيل الرئيسي وبرنامج خادم الاسم. (ملاحظة: وليس لدى TA13-088A مصدرًا لخادم Microsoft DNS، حاول هنا.)
يهيب بك فريق أمان ICANN المساعدة في الحد من التهديدات المتزايدة على الأمان والاستقرار والمرونة.