DNSSEC (« Domain Name System Security Extensions », ou « Extensions de sécurité du système de noms de domaine ») est l'extension de protocole chargée de l'authentification des réponses et de la prévention des attaques d'empoisonnement du DNS. Notez toutefois que les DNSSEC ne protègent pas contre les attaques DDoS. En réalité, les zones protégées par les DNSSEC sont souvent ciblées par des attaques par amplification du DNS, car les attaquants réalisent que les réponses signées dépassent le nombre de messages DNS standard. En effet, elles présentent des types d'enregistrement supplémentaires (NSEC, RRSIG).
DNS et DDoS
Une attaque par déni de service distribué (DDoS) correspond à une tentative d'utiliser un réseau de machines distribuées pour submerger les ressources informatiques d'une cible jusqu'à ce que cette dernière ne soit plus fonctionnelle ou performante. Les DNS (systèmes de noms de domaine) sont souvent ciblés par des attaques DDoS, car les services critiques d'un site Web ou d'une application dépendent de la traduction continue des noms en adresses IP. Ce type de trafic malveillant peut s'avérer difficile à atténuer sans perturber les requêtes légitimes, car les serveurs de noms DNS n'ont souvent qu'une visibilité sur l'adresse IP du résolveur, intermédiaire chargé de la résolution continue des requêtes récursives provenant d'un pool potentiellement important d'utilisateurs. Par conséquent, bloquer ou limiter le débit du trafic associé à cette adresse est susceptible d'entraîner de faux positifs. De plus, les centres de nettoyage de niveau 3 peuvent avoir du mal à isoler les attaques DNS de masse dans la mesure où les requêtes DDoS des DNS annoncent souvent des débits relativement faibles en bit/s (bits par seconde) ou en pps (paquets par seconde) comparés au trafic global.
Il existe différents types d'attaques DDoS du DNS, mais la plupart peuvent être classés en deux groupes : les attaques par flux DNS et les attaques par amplification DNS.
Qu'est-ce qu'une attaque par flux DNS ?
Les attaques par flux DNS visent à épuiser les ressources d'un serveur de noms DNS en envoyant un nombre écrasant de requêtes. Pour y parvenir, les attaquants sophistiqués exploitent des botnets distribués pour brouiller les traces de leur attaque en approvisionnant le trafic malveillant de différents résolveurs récursifs.
Parmi les techniques d'attaques par flux DNS les plus connues, on retrouve l'attaque NXDOMAIN, ou attaque par sous-domaine pseudo-aléatoire (PRSD). Pendant cette attaque, les pirates envoient un nombre excessif de requêtes vers des domaines inexistants (par exemple, doesnotexist.example.com) pour occuper les ressources d'un serveur de noms faisant autorité tout en épuisant la réserve de cache d'un résolveur récursif. Lorsqu'elles sont fructueuses, les attaques par flux DNS permettent d'augmenter les temps de résolution DNS pour les requêtes légitimes voire même de déclencher des attaques DoS pures et simples.
Qu'est-ce qu'une attaque par amplification DNS ?
Au lieu de cibler le serveur de noms répondant à une requête malveillante, l'attaque par amplification DNS vise à paralyser les ressources d'une autre machine en envoyant un nombre important de requêtes DNS à une adresse IP source usurpée. C'est comme envoyer à quelqu'un une lettre par la poste avec une adresse de retour inventée et demander une réponse. En conséquence, les messages DNS sont dirigés vers un tiers peu soupçonneux qui n'a jamais demandé à accéder aux données. Les attaquants soumettent généralement une demande pour autant d'informations de zone que possible pour maximiser l'effet d'amplification dans l'espoir de submerger la victime avec une bande passante inutile.
Les pirates choisissent souvent d'exploiter le DNS pour ce type d'attaque par « réflexion », car il offre plus d'opportunités que l'HTTP. Les connexions HTTP nécessitent une liaison TCP. Par conséquent, la majorité des réponses envoyées à la cible seront des paquets TCP SYN-ACK comprenant une quantité relativement faible de données. Cependant, les messages DNS sont généralement transportés par UDP, un protocole sans connexion, de sorte que les messages plus volumineux puissent être envoyés vers n'importe quelle destination sans accusé de réception préalable.
Quelles sont les méthodes courantes destinées à vous protéger contre les attaques DDoS du DNS ?
Bien qu'il soit difficile de détecter et d'atténuer les attaques DDoS du DNS sans perturber les utilisateurs légitimes, il existe plusieurs techniques recommandées pour renforcer vos protections :
- le réseau DNS Anycast géographiquement distribué étend la surface d'attaques afin d'absorber les attaques à grande échelle ;
- l'augmentation des TTL d'enregistrement contribue à réduire le nombre de requêtes légitimes et illégitimes atteignant les serveurs de noms faisant autorité pour économiser la bande passante des serveurs de noms ;
- la désactivation des requêtes DNS ANY, réponse DNS possible la plus répandue, empêche les attaques d'exploiter ce type d'enregistrement pour augmenter les attaques par amplification ;
- bien qu'il soit difficile de bloquer les requêtes DNS sans interrompre les requêtes légitimes, de nombreux serveurs DNS ont la possibilité de retarder les réponses pour économiser de la bande passante si un résolveur spécifique envoie une quantité excessive de trafic. En parallèle, les serveurs plus sophistiqués peuvent adopter une logique nuancée visant à limiter le débit, notamment en mettant en attente des requêtes d'un résolveur ou d'un client spécifique responsable d'un pic de réponses NXDOMAIN.
En quoi les produits d'Akamai peuvent-ils vous aider ?
Akamai Edge DNS est une solution DNS dans le cloud idéale pour se défendre contre les attaques DDoS les plus importantes. Avec plus de 300 points de présence (PoP), le trafic client standard consomme généralement moins de 1 % de la capacité totale du serveur de noms, laissant ainsi peu de chances aux acteurs malveillants de réussir leurs attaques distribuées de masse. De plus, Edge DNS est basé sur un réseau Anycast hautement résilient pour que les requêtes soient acheminées vers les points de présence topologiquement proches de manière fluide via un routage BGP. Dans les rares cas où un nœud ou une région rencontre des perturbations, le trafic sera dirigé vers un serveur de noms sain via les mécanismes de basculement intégrés à la plateforme. Associées à des capacités sophistiquées de limitation du débit, les caractéristiques uniques et résilientes d'Edge DNS garantissent une disponibilité de 100 % garantie par un accord de niveau de service (SLA).
Foire aux questions (FAQ)
Dépendre de plusieurs fournisseurs DNS dans le cloud pour répondre aux requêtes peut offrir un filet de sécurité en cas de panne du fournisseur, car les résolveurs tenteront généralement d'utiliser un autre enregistrement NS si une tentative initiale de contacter un serveur de noms échoue. Cependant, chaque fournisseur peut avoir des capacités d'enregistrement différentes qui, si elles ne sont pas convenablement prises en compte, pourraient conduire à des incohérences problématiques dans les documents, à des dégradations des performances, voire à des attaques DoS pures et simples. S'ils prévoient de mettre en œuvre ces fonctionnalités, les administrateurs DNS doivent étudier précisément les capacités d'enregistrement ALIAS de chaque fournisseur et la prise en charge des DNSSEC (Domain Name System Security Extensions, ou Extensions de sécurité du système de noms de domaine).
Anycast est une technique d'adressage et de routage réseau qui permet d'identifier des adresses IP depuis plusieurs points sur Internet. Combinée à une empreinte DNS géodistribuée, l'implémentation d'Anycast augmente la surface du serveur pour absorber les attaques DDoS à grande échelle. En effet, plusieurs nœuds peuvent désormais absorber le trafic malveillant distribué d'une adresse IP individuelle. La monodiffusion chargée d'attribuer une adresse IP par destination, augmente quant à elle la probabilité d'un point unique de défaillance centralisé exploitable par les attaquants. Il est important de noter qu'il est difficile de développer un réseau DNS distribué avec une implémentation de monodiffusion, car de nombreux registres imposent des limites de « glue records » (« enregistrements glue »). De plus, l'attribution d'un grand nombre de sorties d'enregistrement A à une recherche d'enregistrement NS présente des défis opérationnels ainsi que des inconvénients en matière de performances. Par conséquent, Anycast offre une option plus performante et évolutive pour mettre en œuvre une posture DNS distribuée et résiliente.
Pourquoi les clients choisissent-ils Akamai ?
Akamai est l'entreprise de cybersécurité et de Cloud Computing qui soutient et protège la vie en ligne. Nos solutions de sécurité leaders du marché, nos renseignements avancés sur les menaces et notre équipe opérationnelle internationale assurent une défense en profondeur pour protéger les données et les applications des entreprises partout dans le monde. Les solutions de Cloud Computing complètes d'Akamai offrent des performances à moindre coût sur la plateforme la plus distribuée au monde. Des grandes entreprises du monde entier font confiance à Akamai pour bénéficier de la fiabilité, de l'évolutivité et de l'expertise de pointe dont elles ont besoin pour développer leur activité en toute confiance.