Une attaque par amplification DNS exploite le protocole DNS. Grâce à ce protocole, un client envoie une requête DNS au serveur afin d'obtenir le nom de domaine ou l'adresse IP requis. Le serveur traite et fournit ensuite les enregistrements de ressources utilisés pour localiser les hôtes et les autres ressources réseau.
Une attaque par amplification DNS est un type d'attaque par déni de service distribué (DDoS) dans laquelle l'attaquant exploite des serveurs DNS vulnérables pour envoyer de grands volumes de trafic légitime. L'objectif d'une attaque par amplification DNS est d'inonder le système cible d'une quantité écrasante de données, le rendant ainsi indisponible pour les utilisateurs légitimes.
Pour lancer une attaque par amplification DNS, les attaquants utilisent des messages DNS conçus de manière malveillante et envoyés par des serveurs vulnérables ou mal configurés pour générer d'énormes quantités de trafic. Les avantages associés à ce type d'attaque incluent un anonymat accru, car l'adresse IP source peut être usurpée, et des coûts d'exécution relativement faibles par rapport aux autres attaques DDoS.
Qu'est-ce que le DNS ?
DNS signifie Domain Name System (système de noms de domaine). Il s'agit d'un protocole qui permet de connecter des noms de domaine (par exemple, www.exemple.com) à leurs adresses IP associées (telles que 192.168.1.1). Les serveurs DNS agissent comme les « annuaires » d'Internet et sont utilisés par chaque terminal connecté à Internet pour accéder à des sites Web et à d'autres services sur le Web. Chaque nom de domaine est enregistré auprès d'un fournisseur d'accès à Internet (FAI) et le DNS aide à acheminer le trafic des utilisateurs du monde entier vers les pages Web appropriées ou d'autres ressources hébergées sous cette combinaison « nom de domaine/adresse IP » spécifique.
Empêchez les attaques par amplification DNS et DDoS avec Akamai
Akamai propose une protection contre les attaques DDoS de bout en bout. Celle-ci agit comme une première ligne de défense, en fournissant des stratégies d'atténuation dédiées en bordure de l'Internet, par DNS distribué et dans le cloud, conçues pour éviter les dommages collatéraux et les points de défaillance uniques. Nos clouds DDoS spécialement conçus à cet effet offrent une fonction de nettoyage dédiée et d'une qualité d'atténuation supérieure. Ces services peuvent être adaptés aux besoins spécifiques des applications Web ou des services basés sur Internet.
Pour stopper les attaques DNS par amplification et autres attaques DDoS, l'une des solutions les plus efficaces est Akamai Prolexic, un service de nettoyage dans le cloud éprouvé qui protège des centres de données entiers et des infrastructures tournées vers Internet contre les attaques DDoS sur tous les ports et protocoles. Grâce à Prolexic, le trafic est acheminé par Anycast BGP dans des centres de nettoyage de grande capacité à travers le monde, où notre centre de commande des opérations de sécurité (SOCC) est capable de déployer des contrôles d'atténuation proactifs et/ou personnalisés pour arrêter instantanément les attaques. En acheminant le trafic vers le centre de nettoyage le plus proche, Prolexic est en mesure de bloquer les attaques au plus près de la source afin d'optimiser les performances des utilisateurs et de préserver la résilience du réseau via la distribution dans le cloud. Une fois le nettoyage terminé, le trafic inoffensif est renvoyé vers le client via des connexions actives logiques ou dédiées.
Disponible en tant que service permanent ou à la demande, Prolexic propose des modèles d'intégration flexibles pour répondre aux besoins de différentes stratégies de sécurité sur toutes les origines hybrides.
Grâce à Akamai Prolexic, vos équipes de sécurité peuvent :
- Réduire le risque d'attaques DDoS, notamment grâce aux contrôles d'atténuation proactifs et à l'accord de niveau de service (SLA) instantané de Prolexic
- Arrêter les attaques DDoS par épuisement SSL/TLS hautement complexes sans sacrifier la qualité de l'atténuation
- Unifier les stratégies de sécurité en appliquant de manière cohérente les politiques d'atténuation des attaques DDoS dans toute votre entreprise, quel que soit l'endroit où les applications sont hébergées
- Optimiser la réaction face aux incidents pour garantir la continuité des activités grâce à des exercices de validation de service, des guides d'exécution personnalisés et des exercices de préparation opérationnelle
- Faire évoluer les ressources de sécurité grâce à notre solution entièrement gérée, soutenue par plus de 225 intervenants SOCC de première ligne
Foire aux questions (FAQ)
Une attaque par amplification est un type de cyberattaque dans lequel l'attaquant envoie une requête volumineuse, par exemple à un serveur DNS ou à un ping ICMP (Internet Control Message Protocol, et reçoit une réponse extrêmement volumineuse. Cette amplification des requêtes peut être utilisée par l'attaquant pour lancer des attaques DDoS contre des réseaux ou des services cibles. Plus la réponse renvoyée est volumineuse, plus le trafic qu'elle peut générer est important et donc plus les serveurs Web ou autres ressources réseau ciblés sont soumis à des contraintes supplémentaires. Ces types d'attaques sont facilités par des vulnérabilités dans les systèmes informatiques qui permettent à des acteurs malveillants d'envoyer des requêtes avec des adresses d'expéditeur usurpées, amplifiant ainsi leur requête initiale de nombreuses fois.
Une attaque par amplification est un type de cyberattaque dans lequel l'attaquant envoie une requête volumineuse, par exemple à un serveur DNS ou à un ping ICMP, et reçoit une réponse extrêmement volumineuse. Cette attaque amplifie ainsi le trafic de l'expéditeur et peut être utilisée par ce dernier pour lancer des attaques DDoS contre des réseaux ou des services cibles.
Une attaque par réflexion est un autre type d'attaque DDoS, qui implique l'exploitation de vulnérabilités sur les serveurs Internet pour envoyer des requêtes avec des adresses d'expéditeur usurpées qui reflètent des composants valides d'un réseau hébergeant le protocole reflété. Ce type d'attaque permet de créer plusieurs copies des demandes et ainsi d'inonder le réseau ou le service cible de trafic, compliquant l'accès aux ressources pour les utilisateurs légitimes. Toutefois, contrairement à une attaque par amplification, une attaque par réflexion ne génère pas d'augmentation du volume des données renvoyées. Au lieu de cela, une seule demande reflète plusieurs cibles valides, ce qui entraîne plus de trafic sans avoir aucun effet d'amplification.
L'un des meilleurs moyens de protection contre les attaques DNS est de s'assurer que vos configurations de serveur sont sécurisées et à jour. Ainsi, vous devez par exemple vérifier que la prise en charge des requêtes récursives est désactivée sur les serveurs publics, ou configurer des règles de pare-feu afin de bloquer les requêtes entrantes provenant de sources d'attaque connues. Il est également recommandé d'appliquer des stratégies de limitation de débit pour réduire le nombre de demandes autorisées à partir d'une adresse IP ou d'un sous-réseau unique.
La mise en œuvre d'outils de cybersécurité tels qu'un système de détection d'intrusion (IDS) ou un système de prévention des intrusions (IPS) peut également aider à détecter et à prévenir les attaques par amplification DNS. Ces systèmes peuvent être configurés de manière à rechercher certaines caractéristiques des paquets malveillants, telles que des requêtes ou des réponses spécifiques associées à certains indicateurs révélant des adresses source usurpées, etc. De plus, de nombreux systèmes IDS/IPS récents sont équipés de fonctions intégrées permettant de détecter et de prévenir les attaques par amplification DNS.
Pour réduire davantage le risque d'attaque, il est essentiel de maintenir vos logiciels à jour en appliquant rapidement les correctifs de sécurité. Les pirates exploitant souvent les vulnérabilités des logiciels obsolètes, cela peut être une mesure efficace pour réduire le risque d'attaque par amplification DNS réussie à l'encontre de votre réseau. Il est également important de surveiller régulièrement le trafic de votre réseau et de rechercher les comportements suspects tels que des quantités anormalement importantes de requêtes et de réponses provenant d'une source unique ou un grand nombre de requêtes envoyé sur une courte période.
Pourquoi les clients choisissent-ils Akamai ?
Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège la vie en ligne. Nos solutions de sécurité leaders du marché, nos renseignements avancés sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises partout dans le monde. Les solutions de Cloud Computing complètes d'Akamai offrent des performances à moindre coût sur la plateforme la plus distribuée au monde. Des grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe dont elles ont besoin pour développer leur activité en toute confiance.