Que sont les attaques DNS et comment les éviter?
Les attaques DNS (Domain Name System) sont courantes et chaque année, des centaines de sites Web sont victimes de ce type d'attaques.
Pour protéger un réseau contre cette catégorie d'exploits, il est important de comprendre les différents types d'attaques DNS ainsi que les meilleures méthodes d'atténuation.
Qu'est-ce que DNS?
Le système de noms de domaine (DNS) est un système de dénomination structuré utilisé par les appareils Internet pour localiser les ressources en ligne. Cela dit, chaque site Web sur Internet a une adresse IP (Internet Protocol) unique, mais il serait plus difficile pour les humains de rappeler chaque site Web par leur adresse IP car ils sont alphanumériques.
En ce qui concerne l'infrastructure DNS, il existe deux composants principaux qui composent le système, et ce sont des serveurs faisant autorité qui hébergent les informations IP et des serveurs récursifs impliqués dans la recherche d'informations IP.
Les attaques DNS peuvent être exploitées contre l'un ou l'autre.
Types d'attaques DNS
Les attaquants utilisent généralement diverses techniques pour perturber la fonctionnalité DNS. Voici un aperçu de certaines des méthodes les plus courantes.
1. DNS Floods
Une inondation DNS utilise des vecteurs d'attaque par déni de service distribué (DDoS) pour cibler les serveurs de système de noms de domaine et est utilisée pour interrompre l'accès à certains domaines.
Les attaquants utilisent des inondations DNS pour inonder les serveurs DNS récursifs d'un mur de requêtes illégitimes, les empêchant de traiter correctement les requêtes légitimes.
Ils tirent généralement le trafic d'une multitude d'emplacements, d'appareils et d'adresses IP, ce qui rend difficile la distinction entre le trafic normal et le trafic «généré».
Les botnets contrôlant des milliers d'IoT et d'ordinateurs piratés sont généralement exploités pour le schéma, et leurs adresses IP sources sont usurpées à l'aide de scripts.
Mesures d'atténuation
Il existe de nombreuses façons de prévenir les attaques par inondation de domaine, et elles incluent l'installation de protocoles de vérification IP. Les systèmes de détection et de blocage des anomalies par apprentissage automatique sont les meilleurs pour cela.
Si le problème est particulièrement grave et que de telles mesures d'interception font défaut, la désactivation des serveurs DNS récursifs atténuera le problème en empêchant davantage de relais.
Limiter les demandes uniquement à celles des clients autorisés est une autre façon de résoudre le problème. Avoir une configuration de limitation du taux de réponse (RRL) faible sur les serveurs faisant autorité fonctionne également.
2. Empoisonnement du cache DNS
L'empoisonnement du cache DNS implique la manipulation du serveur DNS par des entités malveillantes pour rediriger le trafic hors des serveurs légitimes. Il s'agit essentiellement d'un stratagème de serveur à serveur.
Un attaquant pourrait, par exemple, modifier les informations sur le serveur DNS d'Instagram afin qu'elles pointent vers l'adresse IP de Twitter. Dans la plupart des cas, les redirections mènent les visiteurs vers des sites contrôlés par des pirates où le phishing, le XSS et d'autres attaques de vulnérabilité sont exécutés.
Dans certains cas, les attaques peuvent être mises à l'échelle en ciblant les fournisseurs d'accès Internet, en particulier si plusieurs d'entre eux s'appuient sur des serveurs spécifiques pour récupérer les données DNS. Une fois que les serveurs primaires sont compromis, l'infection devient systématique et peut affecter les routeurs des clients connectés aux réseaux.
Mesures d'atténuation
Pour éviter ces types d'attaques, les serveurs DNS doivent être configurés de manière à réduire la dépendance vis-à-vis des serveurs extérieurs au réseau. Cela empêche les serveurs DNS des attaquants de communiquer avec les serveurs ciblés.
L'installation de la dernière version de BIND sur le serveur est également utile. En effet, les versions mises à niveau disposent de technologies de transaction sécurisées par cryptographie et de capacités de randomisation de port qui réduisent les attaques.
Enfin, les attaques peuvent être évitées en limitant les réponses DNS pour ne fournir que des informations particulières sur le domaine interrogé et en ignorant simplement les requêtes «ANY». Répondre à TOUTES les demandes force le résolveur DNS à disposer de plus d'informations sur le domaine demandé. Cela inclut les enregistrements MX, les enregistrements A, etc. Les informations supplémentaires utilisent plus de ressources système et amplifient la taille de l'attaque.
3. Attaques par déni de service par réflexion distribuée (DRDoS)
Les attaques par déni de service réflexif distribué (DRDoS) tentent de submerger l'infrastructure DNS en envoyant un volume énorme de requêtes UDP (User Datagram Protocol).
Les terminaux compromis sont généralement utilisés pour ce faire. Les paquets UDP fonctionnent au-dessus des adresses IP pour envoyer des requêtes à un résolveur DNS. La stratégie est privilégiée car le protocole de communication UDP n'a pas d'exigences de confirmation de livraison et les demandes peuvent également être dupliquées. Cela facilite la création d'une congestion DNS.
Dans ce cas, les résolveurs DNS ciblés tentent de répondre aux fausses demandes mais sont obligés d'émettre un énorme volume de réponses d'erreur et finissent par être submergés.
Mesures d'atténuation
Les attaques par déni de service par réflexion distribuée (DRDoS) sont une forme d'attaque DDoS, et pour les empêcher, l'application d'un filtrage réseau d'entrée doit être effectuée pour empêcher l'usurpation d'identité. Étant donné que les requêtes passent par des résolveurs DNS, leur configuration pour ne résoudre que les requêtes provenant de certaines adresses IP aidera à atténuer le problème.
Cela implique généralement la désactivation de la récursivité ouverte, réduisant ainsi les failles d'attaque DNS. La récursivité ouverte oblige le serveur à accepter les requêtes DNS de n'importe quelle adresse IP, ce qui ouvre l'infrastructure aux attaquants.
La configuration de la limitation du taux de réponse (RRL) empêchera également le taux d'incidences DRDoS. Ceci peut être réalisé en fixant un plafond de taux limite. Ce mécanisme empêche le serveur faisant autorité de traiter des quantités excessives de requêtes.
4. Attaques NXDOMAIN
Lors d'une attaque DNS NXDOMAIN, le serveur ciblé est inondé de demandes d'enregistrement non valides. Les serveurs proxy DNS (résolveurs) sont généralement ciblés dans cette instance. Leur tâche consiste à interroger les serveurs faisant autorité DNS à la recherche d'informations sur le domaine.
Les demandes non valides engagent le proxy DNS et les serveurs faisant autorité et déclenchent des réponses d'erreur NXDOMAIN et provoquent des problèmes de latence du réseau. Le flot de requêtes entraîne finalement des problèmes de performances avec le système DNS.
Mesures d'atténuation
Les attaques DNS NXDOMAIN peuvent être évitées en permettant au serveur de conserver plus d'informations de cache sur les demandes valides au fil du temps. Cette configuration garantit que même pendant une attaque, les requêtes légitimes peuvent toujours passer sans avoir à subir une mise en cache supplémentaire. En tant que tel, les informations demandées peuvent être facilement extraites.
Les domaines et serveurs suspects utilisés dans le schéma peuvent également être bloqués, libérant ainsi des ressources.
5. Attaques de domaine fantôme
En exécutant une attaque de domaine fantôme, l'attaquant commence par configurer un collectif de domaines afin qu'il ne réponde pas ou le fasse très lentement une fois qu'il reçoit une requête DNS. Les serveurs récursifs sont ciblés dans cette instance.
Ils sont ciblés par un volume énorme de requêtes répétitives interrogeant les domaines fantômes. Les longues pauses de réponse entraînent un arriéré de demandes non résolues qui encombrent le réseau et occupent de précieuses ressources serveur. En fin de compte, le schéma empêche le traitement des requêtes DNS légitimes et empêche les utilisateurs d'accéder aux domaines ciblés.
Mesures d'atténuation
Pour atténuer les attaques de domaine fantôme, limiter le nombre de requêtes récursives successives sur chaque serveur aidera. Ils peuvent être encore limités par zone.
L'activation de la suspension sur le serveur DNS pour les demandes adressées à des serveurs non réactifs empêchera également le système d'être submergé. La fonctionnalité limite le nombre de tentatives consécutives effectuées sur des serveurs qui ne répondent pas une fois qu'ils atteignent un certain seuil.
L'augmentation du nombre de serveurs récursifs fonctionne également.
Restez à l'abri des dangers DNS
Chaque année, les attaquants DNS proposent une panoplie de trucs étranges pour détruire une infrastructure en ligne critique, et les dégâts peuvent être énormes.
Pour les particuliers et les entreprises qui dépendent fortement des domaines en ligne, le respect des directives de bonnes pratiques et l'installation des dernières technologies de neutralisation du DNS contribueront grandement à les empêcher.