À moins d’avoir été scotché à Internet il y a quelques semaines, vous avez peut-être manqué la panne massive qui a frappé la côte est le 21 octobre
. 21
De nombreux sites Web populaires tels que Twitter, Reddit, Netflix, Etsy et Spotify étaient inaccessibles à des milliers d’utilisateurs.
Les experts ont depuis déclaré que la panne était le résultat d’une énorme attaque sur les services DNS de Dyn, une société d’infrastructure Internet.
Les préoccupations concernant les attaques DNS sont restées en retrait pour de nombreuses entreprises et sociétés informatiques – mais cela pourrait changer.
Des sociétés telles que Google, le New York Times et plusieurs banques ont été victimes d’une variété d’attaques DNS au cours des dernières années.
Avec des attaques similaires à venir, de quels types devez-vous vous méfier ?
Attaque #1 : Empoisonnement et usurpation du DNS
L’empoisonnement du DNS peut finalement diriger les utilisateurs vers le mauvais site Web. Par exemple, un utilisateur peut saisir « msn.com » dans un navigateur Web, mais une page choisie par l’attaquant se charge à la place.
Puisque les utilisateurs saisissent le bon nom de domaine, ils peuvent ne pas se rendre compte que le site Web qu’ils visitent est faux.
Cela crée une occasion parfaite pour les attaquants d’utiliser des techniques de phishing pour extraire des informations – qu’il s’agisse d’identifiants de connexion ou d’informations de carte de crédit – de victimes peu méfiantes.
L’attaque peut être dévastatrice, en fonction de plusieurs facteurs, notamment l’intention de l’attaquant et la portée de l’empoisonnement DNS.
Comment les attaquants font-ils cela ? En exploitant le système de mise en cache du DNS.
Trickle-down DNS caching
La mise en cache du DNS est utilisée partout sur le Web pour accélérer les temps de chargement et réduire la pression sur les serveurs DNS. En bref, une fois qu’un système interroge un serveur DNS et reçoit une réponse, il enregistre l’information dans un cache local pour une référence plus rapide.
Cette approche est utilisée à travers le Web de manière descendante. Les enregistrements d’un serveur DNS sont utilisés pour mettre en cache les enregistrements d’un autre serveur DNS. Ce serveur est utilisé pour mettre en cache les enregistrements DNS sur les systèmes de réseau tels que les routeurs. Ces enregistrements sont utilisés pour créer des caches sur les machines locales.
Caches DNS empoisonnés
L’empoisonnement DNS se produit lorsqu’un de ces caches est compromis.
Par exemple, si le cache d’un routeur réseau est compromis, alors toute personne l’utilisant peut être mal dirigée vers un site web frauduleux. Les faux enregistrements DNS descendent ensuite jusqu’aux caches DNS de la machine de chaque utilisateur.
Cela peut également se produire plus haut dans la chaîne.
Par exemple, un important serveur DNS peut être compromis. Cela peut empoisonner les caches des serveurs DNS maintenus par les fournisseurs de services Internet. Le poison peut s’infiltrer dans les systèmes et les appareils de réseau de leurs clients, et potentiellement diriger des millions de personnes vers des sites Web choisis par un attaquant.
Cela vous paraît fou ? Ce n’est pas le cas. En 2010, les internautes de tous les États-Unis ont été bloqués sur des sites comme Facebook et YouTube parce qu’un serveur DNS d’un FAI de haut niveau a accidentellement récupéré des enregistrements provenant du Grand Pare-feu de Chine.
Antidote pour le poison
L’empoisonnement du cache DNS est très difficile à détecter. Il peut durer jusqu’à ce que le TTL, ou time to live, expire sur les données mises en cache ou qu’un administrateur s’en rende compte et résolve le problème.
Selon la durée du TTL, cela peut prendre des jours aux serveurs pour résoudre le problème par eux-mêmes.
Les meilleures méthodes pour prévenir une attaque par empoisonnement du cache DNS comprennent la mise à jour régulière des programmes, la définition de durées TTL courtes et l’effacement régulier des caches DNS des machines locales et des systèmes de mise en réseau.
Ataque n°2 : Amplification DNS pour DDoS
Les attaques par amplification DNS ne sont pas des menaces contre les systèmes DNS. Au lieu de cela, elles exploitent la nature ouverte des services DNS pour renforcer la force des attaques par déni de service distribué (DDoS).
Les attaques DDoS ne sont pas étrangères aux projecteurs, ciblant des sites bien connus comme la BBC, Microsoft, Sony et Krebs on Security.
Crank up and amplify
Les attaques DDoS se produisent généralement avec un botnet. L’attaquant utilise un réseau d’ordinateurs infectés par des logiciels malveillants pour envoyer de grandes quantités de trafic vers une cible, par exemple un serveur. L’objectif est de surcharger la cible et de la ralentir ou de la faire tomber en panne.
Les attaques par amplification ajoutent du punch. Plutôt que d’envoyer du trafic directement d’un botnet à une victime, le botnet envoie des requêtes à d’autres systèmes. Ces systèmes répondent en envoyant des volumes de trafic encore plus importants à la victime.
Les attaques par amplification du DNS en sont un parfait exemple. Les attaquants utilisent un botnet pour envoyer des milliers de demandes de consultation à des serveurs DNS ouverts. Les demandes ont une adresse source usurpée et sont configurées pour maximiser la quantité de données renvoyées par chaque serveur DNS.
Le résultat : un attaquant envoie des quantités relativement faibles de trafic à partir d’un botnet et génère des volumes proportionnellement plus importants – ou « amplifiés » – de trafic à partir des serveurs DNS. Le trafic amplifié est dirigé vers une victime, provoquant la défaillance du système.
Défléchir et défendre
Les pare-feu de l’UTM peuvent être configurés pour reconnaître et arrêter les attaques DDoS au moment où elles se produisent en abandonnant les paquets artificiels qui tentent d’inonder les systèmes sur le réseau.
Une autre façon de combattre les attaques DDoS est d’héberger l’architecture de votre client sur plusieurs serveurs. De cette façon, si un serveur devient surchargé, un autre serveur sera toujours disponible.
Si l’attaque est petite, les adresses IP envoyant le trafic peuvent être bloquées. De plus, une augmentation de la bande passante du serveur peut lui permettre d’absorber une attaque.
Il existe également de nombreuses solutions dédiées et payantes conçues exclusivement pour lutter contre les attaques DDoS.
Ataque #3 : DNS attaqué par DDoS
Les attaques DDoS peuvent être utilisées contre de nombreux types de systèmes différents. Cela inclut les serveurs DNS.
Une attaque DDoS réussie contre un serveur DNS peut le faire tomber en panne, rendant les utilisateurs qui dépendent du serveur incapables de naviguer sur le Web (note : les utilisateurs seront probablement encore en mesure d’atteindre les sites Web qu’ils ont visités récemment, en supposant que l’enregistrement DNS est sauvegardé dans un cache local).
C’est ce qui est arrivé aux services DNS de Dyn, comme décrit dans l’ouverture de ce post. Une attaque DDoS a submergé les systèmes de l’entreprise, les faisant tomber en panne, ce qui a empêché des milliers de personnes d’accéder aux principaux sites Web.
La façon de se défendre contre ces attaques dépend du rôle de vos systèmes dans l’environnement.
Par exemple, hébergez-vous un serveur DNS ? Dans ce cas, il y a des mesures que vous pouvez prendre pour le protéger, comme le maintenir patché et autoriser uniquement les machines locales à y accéder.
Peut-être essayez-vous d’atteindre le serveur DNS attaqué ? Dans ce cas, vous aurez probablement des difficultés à vous connecter.
C’est pourquoi c’est une bonne idée de configurer vos systèmes pour qu’ils reposent sur plus d’un serveur DNS. De cette façon, si le serveur primaire tombe en panne, vous en avez un autre comme solution de repli.
Nous recommandons les serveurs DNS publics gratuits de Google : 8.8.8.8 et 8.8.4.4. Des instructions sont également disponibles pour les adresses IPv6.
Prévenir et atténuer les attaques
Les attaques de serveurs DNS constituent un risque majeur pour la sécurité du réseau et doivent être prises au sérieux. Les entreprises et les sociétés informatiques doivent toutes deux mettre en œuvre des mesures de protection pour prévenir et réduire les effets d’une telle attaque si jamais elles en sont victimes.
En raison de ces attaques, l’ICANN a commencé à mettre l’accent sur ces risques avec DNSSEC, une technologie montante utilisée pour prévenir les attaques de serveurs DNS.
DNSSEC fonctionne actuellement en « signant » chaque demande DNS avec une signature certifiée pour garantir l’authenticité. Cela aide les serveurs à éliminer les fausses demandes.
Le seul inconvénient de cette technologie est le fait qu’elle doit être mise en œuvre à toutes les étapes du protocole DNS pour fonctionner correctement – ce qui se fait lentement mais sûrement.
Porter un œil sur les technologies en développement telles que DNSSEC ainsi que rester à jour sur les dernières attaques DNS est un bon moyen de rester en tête de la courbe.
.