Qu'est-ce qu'une attaque par sous-domaine pseudo-aléatoire ?

Une attaque par sous-domaine pseudo-aléatoire (PRSD), également appelée attaque par sous-domaine aléatoire ou attaque de type « Water Torture », est un type d'attaque DDoS (déni de service distribué). Les attaques PRSD, qui visent un domaine Web spécifique, inondent les serveurs de noms DNS de milliers de requêtes DNS apparemment légitimes, mais malveillantes. En conséquence, les deux serveurs DNS récursifs et les serveurs de noms DNS de référence et leurs environnements d'infrastructure sont submergés par les requêtes et ralentissent ou plantent. Ils deviennent alors incapables de répondre au trafic légitime et le domaine devient indisponible. Ces types d'attaques sont très efficaces, car ils ne se contentent pas d'inonder les serveurs DNS de paquets illégitimes ; les attaques PRSD envoient des requêtes DNS pour des sous-domaines qui semblent légitimes et dont la malveillance est plus difficile à détecter.

Les sous-domaines jouent un rôle crucial dans l'organisation des sites Web, en agissant comme préfixes du domaine principal. Une attaque par sous-domaine pseudo-aléatoire manipule cette structure pour créer des sous-domaines imprévisibles afin d'éviter la détection.

Qu'est-ce que le DNS ?

En bref, le DNS est un index qui traduit les noms de domaine Web comme « exemple.com » en adresses IP comme « 2001:db8:3e8:2a3::b63 ». Les adresses IP sont ce que les ordinateurs et les terminaux utilisent pour communiquer avec d'autres machines sur un réseau comme Internet. Les adresses IP sont difficiles à retenir pour les utilisateurs humains et se rapportent à l'emplacement du service plutôt qu'à son identité. Le DNS, quant à lui, permet aux utilisateurs de travailler avec des noms de domaine faciles à lire qui identifient un service. Sa fonction est de renvoyer rapidement l'adresse IP correcte pour chaque domaine auquel un utilisateur ou une machine souhaite se connecter.

Comment le DNS fonctionne-t-il ?

Le DNS comprend deux types de serveurs qui aident à résoudre les requêtes des terminaux et des applications pour les adresses IP : les serveurs de noms de référence et les serveurs de noms récursifs. Les serveurs DNS de référence conservent les enregistrements DNS officiels pour chaque domaine. Les résolveurs DNS récursifs, qui se trouvent plus près des utilisateurs, allègent la charge de travail des serveurs de référence et renvoient les enregistrements plus rapidement en répondant aux requêtes DNS des enregistrements stockés dans leur mémoire cache lorsqu'ils sont disponibles.

Bien que le processus DNS ne prenne généralement qu'une fraction de seconde, la résolution d'une requête DNS implique un certain nombre d'étapes. Par exemple :

lorsqu'un utilisateur clique sur un lien ou saisit un domaine Web dans un navigateur, ou qu'une application doit se connecter à une autre machine, le terminal demandeur émet généralement une requête DNS qui est envoyée à un résolveur DNS récursif.
Si l'enregistrement DNS est stocké dans la mémoire cache de ce serveur récursif, ce dernier renvoie immédiatement l'adresse IP ou la réponse correcte.
Si aucun enregistrement DNS n'est stocké dans son cache DNS, le serveur récursif transmet la demande à d'autres serveurs de noms et, finalement, à un serveur DNS de référence qui renvoie l'adresse IP correcte.
Le serveur récursif renvoie ensuite l'adresse IP correcte au terminal de l'utilisateur, qui charge la page Web ou crée une connexion.

Comment fonctionne une attaque par sous-domaine pseudo-aléatoire ?

Pour exécuter une attaque par sous-domaine pseudo-aléatoire contre un domaine cible tel que exemple.com, les pirates utilisent des algorithmes de génération de domaines ou des outils automatisés pour générer une liste de milliers ou de millions de sous-domaines inexistants, c'est-à-dire des noms qui n'ont pas de réponse dans le DNS, basée sur des chaînes aléatoires (par exemple, asdf). À l'aide d'un botnet, un réseau d'ordinateurs infectés par des logiciels malveillants qu'ils contrôlent, les hackers créent des requêtes DNS simultanées pour ces sous-domaines inexistants. Les serveurs DNS récursifs qui reçoivent ces requêtes ne peuvent pas les résoudre, car les sous-domaines inexistants ne sont pas stockés dans la mémoire cache. Les requêtes sont alors transmises aux serveurs DNS de référence. Les serveurs de noms de référence émettent une réponse NXDOMAIN, ce qui signifie que le domaine est introuvable. Lorsque le serveur de référence est submergé par des milliers ou des millions de requêtes simultanées pour des sous-domaines inexistants, il plante ou déclenche un mécanisme de limitation du débit qui réduit les performances. Dans le même temps, les requêtes malveillantes peuvent rapidement consommer toutes les ressources disponibles au sein des résolveurs DNS récursifs et de leurs infrastructures d'environnement qui attendent les réponses des serveurs de noms de référence. En conséquence, les utilisateurs légitimes rencontreront des réponses « d'échec ».

Comment les organisations peuvent-elles arrêter les attaques PRSD ?

Les attaques par sous-domaine pseudo-aléatoire font partie des attaques DNS les plus difficiles à atténuer, car les paquets utilisés sont des requêtes DNS correctement formées. De plus, les requêtes de ces attaques DDoS du DNS sont généralement émises par des clients de FAI (fournisseurs d'accès Internet) légitimes. Il est donc compliqué d'utiliser le filtrage basé sur la source pour bloquer le trafic DNS malveillant. Pour atténuer les attaques PRSD ou minimiser leur impact, les équipes de cybersécurité peuvent adopter des meilleures pratiques.

Augmenter la capacité de requête. Augmenter le nombre de serveurs DNS et leur mémoire permet aux résolveurs de supporter des charges de requêtes plus élevées et d'éviter qu'ils ne soient à court de ressources système critiques.
Maximiser les requêtes autorisées. Régler la configuration DNS pour maximiser le nombre de requêtes récursives simultanées autorisées peut permettre aux serveurs DNS de continuer à répondre aux requêtes légitimes pendant une attaque.
Déployer l'atténuation de la reconnaissance des modèles. Certaines solutions de sécurité utilisent l'apprentissage automatique pour identifier les modèles de trafic d'attaque et créer automatiquement un filtre pour le bloquer ou le gérer.
Choisir une plateforme DNS à l'échelle mondiale. En travaillant avec un fournisseur DNS qui offre de nombreux points de présence avec des contrôles algorithmiques pour gérer le trafic PRSD dans le monde entier, les organisations peuvent atténuer l'impact des plus grandes attaques DDoS basées sur les inondations DNS.

Foire aux questions (FAQ)

Oui. Même si c'est compliqué, une surveillance proactive et l'utilisation d'outils avancés de détection des menaces peuvent aider à identifier les modèles associés aux attaques par sous-domaine pseudo-aléatoire.

Aucun secteur n'est vraiment à l'abri. Cependant, les secteurs qui gèrent des données sensibles, tels que ceux de la finance et de la santé, sont des cibles particulièrement attrayantes pour les attaques par sous-domaine pseudo-aléatoire.

La fréquence varie, mais avec la sophistication croissante des cybermenaces, les organisations doivent rester vigilantes et mettre en œuvre des mesures de sécurité robustes.

Oui, les petites entreprises sont également des cibles potentielles, car les hackers exploitent souvent les vulnérabilités sans se soucier de la taille de l'organisation.

Absolument. Les solutions de cybersécurité pilotées par l'IA peuvent analyser de vastes ensembles de données, identifier des modèles et réagir rapidement aux possibles attaques par sous-domaine pseudo-aléatoire.

En cas d'attaque, une réponse rapide à l'incident est cruciale pour minimiser les dommages. Celle-ci nécessite notamment d'isoler les systèmes affectés et de collaborer avec des experts en cybersécurité.

Pourquoi les clients choisissent-ils Akamai ?

Akamai soutient et protège la vie en ligne. Les entreprises leaders du monde entier choisissent Akamai pour concevoir, diffuser et sécuriser leurs expériences digitales, et aident des milliards de personnes à vivre, travailler et jouer chaque jour. Akamai Connected Cloud, plateforme cloud massivement distribuée en bordure de l'Internet, rapproche vos applications et expériences des utilisateurs, tout en tenant les menaces à distance.

Produits connexes

Prolexic

Bloquez les attaques DDoS avec la meilleure défense à grande échelle.

Edge DNS

Faites confiance à un DNS hautement sécurisé pour des applications Web et des API toujours disponibles.

App & API Protector

Une sécurité tout-en-un et sans compromis des sites Web, des applications et des API.

Ressources supplémentaires

Défense contre les attaques DDoS dans un environnement de cloud hybride

Tous les services de protection contre les attaques DDoS ne sont pas identiques. Découvrez combien de fournisseurs de services cloud laissent à désirer et quels sont les signaux d'alerte.

Menaces DDoS dans la zone EMEA en 2024

Nos dernières études vous apportent les connaissances dont vous avez besoin pour mieux vous défendre contre les attaques DDoS en hausse dans la zone EMEA.

Télécharger le rapport

Que peut révéler une analyse du trafic DNS malveillant sur l'exposition au risque d'une entreprise ?

L'analyse sur la C2 de l'autoroute d'attaques révèle les attaquants de l'entreprise

Le DNS est l'une des plus anciennes infrastructures Web. Il est toutefois traversé par une quantité incroyable de trafic d'attaques. Ce dernier rapport présente les menaces les plus répandues et plus encore.

Télécharger le rapport