Sécurité DNS
Picto protection des réseaux - Interdata

Tour d’horizon des menaces sur la sécurité DNS

Dans cette article, vous allez découvrir quelles sont les 3 grandes catégories d’attaques DNS les plus courantes et pourquoi les solutions de sécurité classiques ne sont plus suffisantes et ne constituent qu’un premier niveau de protection.

Rapport global sur les menaces DNS 2018 Efficient IP
Une nouvelle ère d’attaques réseau : comment protéger et sécuriser vos serveurs DNS ?

Aujourd’hui, il est communément admis que le DNS constitue l’un des services IT les plus critiques pour une entreprise, quel que soit son domaine d’activité. De nombreux rapports émanant d’experts, d’analystes et d’instituts de recherche mondialement reconnus, ont démontré l’importance du service DNS pour garantir la continuité de l’activité.

Les pirates peuvent avoir pour objectif, par exemple, de perturber l’activité de l’organisation, de corrompre des données, de dérober des informations – ou encore tout cela à la fois !

Pour atteindre leurs objectifs, les pirates sont en recherche permanente de vulnérabilités potentiellement exploitables. Avec le temps, ils ont développé une grande variété d’attaques DNS, que l’on peut classer en trois grandes catégories :

  • Attaques DoS volumétriques

Ces attaques visent à faire tomber le serveur en le submergeant de requêtes en très grand nombre, entraînant la dégradation ou l’indisponibilité du service.

  • Attaques DoS furtives / par injection lente

Émission de faibles volumes de requêtes DNS spécifiques visant à épuiser la capacité de traitement des requêtes sortantes, se traduisant également par la dégradation ou l’indisponibilité du service.

  • Exploits

Ces attaques visent à exploiter les bugs et/ou failles du protocole ou des services DNS, ou du système d’exploitation sous-jacent.

Les menaces diverses et leur portée

1 ATTAQUES VOLUMÉTRIQUES

Attaques DoS DNS directes
Submersion des serveurs DNS par de très gros volumes de requêtes directes, provoquant la saturation du cache et des fonctions récursives/d’autorité. Ces attaques sont généralement menées depuis des adresses IP usurpées (spoofing).

Réflexion DNS
Attaques utilisant de nombreux serveurs de résolution ouverts et distribués pour submerger les serveurs d’autorité de la victime (généralement associées aux attaques par amplification).

NXDOMAIN
Submersion des serveurs DNS avec des requêtes de domaines inexistants, provoquant une saturation des fonctions récursives.

Amplification DNS (DDoS)
Requêtes DNS spécifiques générant une réponse amplifiée afin de submerger les serveurs par un trafic très important.

2 ATTAQUES DoS FURTIVES / PAR INJECTION LENTE

Attaques de domaine « Sloth »
Attaques basées sur des requêtes envoyées au domaine d’autorité du pirate, dont les réponses volontairement très lentes du serveur, juste avant la fin du délai, provoquent l’épuisement des capacités récursives du serveur de la victime.

Attaques de domaine « Phantom »
Attaques ciblant les fonctions de résolution DNS en leur soumettant des requêtes de sous-domaines pour lesquels le serveur de domaine est injoignable, provoquant la saturation du cache du serveur.

Attaques de sous-domaine « Random » (RQName)
Attaques basées sur des requêtes de noms aléatoires (random) provoquant la saturation des fonctions récursives et d’autorité du serveur.

3 EXPLOITS

Vulnérabilité de type « Zero Day »
Ces attaques exploitent les failles de sécurité DNS pour lesquelles aucun correctif n’est encore disponible.

Exploitations DNS
Attaques visant à exploiter les bugs et/ou failles du protocole ou des services DNS, ou du système d’exploitation sous-jacent.

Requêtes DNS anormales
Ces attaques sont basées sur des requêtes DNS anormales visant à provoquer l’arrêt du service ou son dérèglement.

DNS tunneling
Le protocole DNS est utilisé pour encapsuler d’autres protocoles ou des données afin de contrôler à distance des logiciels malveillants et/ou l’exfiltration de données.

Empoisonnement du cache DNS
Ces attaques introduisent des données dans le cache du serveur de résolution, le forçant à retourner une adresse IP invalide et détourner le trafic vers la machine du pirate.

Les solutions de sécurité classiques ne suffisent plus

À l’heure actuelle, le service DNS fait partie des services les plus visés lors d’attaques de type DoS (davantage que le courrier électronique), tandis que 91% des logiciels malveillants s’appuient sur ce protocole pour communiquer avec leurs serveurs de commande et contrôle (C&C) ou exfiltrer des données confidentielles.

Les pirates sont constamment à la recherche de nouvelles vulnérabilités DNS qui leur permettraient de compromettre la sécurité de l’infrastructure IT.

Des attaques toujours plus sophistiquées

Ces attaques combinant plusieurs vecteurs d’agression simultanément, les mécanismes de défense classiques s’avèrent aujourd’hui clairement dépassés. Le service DNS étant un protocole « sans connexion », il est impératif de disposer de capacités d’analyse élaborées pour véritablement identifier les menaces dissimulées au sein du trafic et pouvoir déclencher des contre-mesures adaptées, afin de garantir l’intégrité et la disponibilité du service.

Une protection spécifique

En conséquence, les solutions de sécurité doivent être conçues pour offrir une protection contre des types spécifiques d’attaques, plutôt que contre certaines menaces précises, dont il est très difficile, voire impossible, de maintenir à jour une liste exhaustive. En plus d’être coûteuse, cette dernière approche comporte le risque de bloquer des requêtes légitimes (faux positifs).

Un premier niveau de protection

Les solutions de sécurité classiques existantes (plus spécifiquement les systèmes de filtrage DNS) constituent un premier niveau de protection contre les attaques DNS, mais montrent clairement leurs limites, et peuvent même s’avérer dangereuses si elles ne sont pas utilisées avec toutes les précautions qui s’imposent. Il est temps d’envisager de nouvelles façons de parer les attaques DNS.

Découvrez les 5 étapes clés recommandées par Efficient IP pour protéger vos données et vos services sensibles 

Téléchargez le rapport Efficient IP  >>