資安事件:新北市教育網路中斷(1060919-0928)

日期:106年9月28日(四):

教育局來信:

(一) 因應DNS放大攻擊相關資安措施10月1日上午10時起執行,並請DNS自管學校依信件內容設定。

  1. 因應近期DNS放大攻擊,持續掃描及追蹤各校網段後,發現學校網段中,不定期會有不同IP回應外部網段的DNS遞迴查詢(recursive query),變成放大攻擊的跳板。
  2. 本科將針對所有連線學校網段,設定DNS白名單,僅開放各校在本科登記之授權DNS IP進行TCP/UDP Port 53連線,其餘所有網段將封鎖外部網段對校內網段TCP/UDP Port 53連線,校內網段對外部網段使用TCP/UDP Port 53連線不受影響,本項措施將於10月1日上午10時起執行。
  3. DNS伺服器自管的學校,請設定限制DNS遞迴查詢的來源IP或網段,僅供自已學校網段進行DNS遞迴查詢使用,如再發現DNS未設定限制外部IP進行遞迴查詢者,將逕予封鎖該IP之網路存取權限,至貴校改善為止。
  4. 除各校在本科登記之授權DNS IP外,如另有特殊需求須開放外部網段對校內IP進行TCP/UDP Port 53連線時,請另洽本科申請,電話 (02)80723456#506 陳思維、(02)80723456#516 林璟豐

(二) [網路中斷通知]9/28晚間2200-2400進行骨幹備援交換器維修。

下午 5:30 進行備援系統上線切換時,備援系統無法順利進行網路系統備援。

為維持穩定可靠的網路服務,晚間2200-2400將進行備援系統維修。

維修期間將造成網路中斷。

造成不便,請見諒。

新北市教育局教資科輔導員

李煒

0912456898


日期:106年9月25日(一):

教育局來信:請於今日中午12時前關閉recursive query功能

  1. 本市教育網路連線學校,近來頻頻遭受DNS放大攻擊,請有自架DNS伺服主機的學校注意,通知DNS管理人員,務必於今日中午12時前關閉recursive query功能。
  2. 此後中心如再發現DNS放大攻擊,將依資安事件SOP處理,直接阻擋或封鎖來源IP或MAC。
  3. 如學校有自架DNS伺服主機,且有管理及資訊安全疑慮者,建議儘速採取集中託管措施,申請學校請填寫「新北市政府教育局網路服務啟用暨異動申請表」(附件),並依表單備註說明辦理申請。本表單可自行於「教育網路服務網」(http://enctc.ntpc.edu.tw)>「下載專區」>「網路服務申請暨異動表」中下載。
  4. DNS 放大攻擊簡介與防制及如何關閉recursive query功能,請參考臺大計算機及資訊網路中心文章— DNS 放大攻擊簡介與防制(http://www.cc.ntu.edu.tw/chinese/epaper/0028/20140320_2808.html)。

日期:106年9月19日(二):

今天新北南轄內自架DNS都被一個ip各做1024個連線。因此累計加放大貢獻了90萬session給防水牆,因此防水牆session table無法重建session.造成學校網路異常。