Durant une attaque DDoS, le hacker essaie généralement de faire tomber le serveur DNS
pour que les requêtes légitimes ne soient plus traitées, ou pour corrompre le cache DNS et
transmettre aux utilisateurs de fausses informations. Plusieurs méthodes existent pour
protéger les serveurs DNS contre ces attaques. La plus courante consiste à filtrer les
requêtes DNS afin d’éliminer celles qui sont illégitimes. Le problème : les solutions actuelles
ne sont pas suffisamment puissantes pour absorber et analyser méticuleusement toutes les
requêtes qui leur sont envoyées, et peuvent même impacter négativement le service DNS.

En décembre dernier, le fournisseur de services cloud, Rackspace subissait une attaque
DDoS qui a paralysé ses serveurs DNS pendant 11 heures. Dans sa communication de crise
avec ses utilisateurs, l’entreprise indique alors que ses ingénieurs travaillent à résoudre le
problème rencontré. Malheureusement les solutions de protection employées n’ont pas été
sans impact : “ en raison de la nature de l’événement, une partie du trafic légitime à notre
infrastructure DNS peut être bloqué par inadvertance (1)”.

Le même mois, DNS Simple fait face une attaque similaire et décide finalement de désactiver
le mécanisme de défense de DNS du dispositif de protection DDoS pour retrouver un service
normal de résolution de noms.

Dans les deux cas, les entreprises ont pris des mesures radicales qui n’ont pas uniquement
bloqué le trafic illégitime mais également les requêtes légitimes. C’est une preuve que les
solutions actuelles ne sont pas adaptées aux problématiques des services DNS et que les
entreprises restent vulnérables. Il est temps de repenser la sécurité de ce maillon faible de
l’infrastructure réseau.

Cinq raisons qui démontrent que les solutions de filtrage actuelles sont
insuffisantes

Depuis 40 ans, les Responsables de la Sécurité Informatique (RSSI) utilisent des solutions de
filtrage pour parer aux attaques. Malheureusement les solutions de filtrage disponibles sur

le marché s’avèrent insuffisantes pour protéger le service DNS, voire dangereuses dans
certains cas. Il est temps de réfléchir autrement et ce, pour 5 raisons :
Des attaques informatiques de plus en plus complexes
Les hackers sont souvent très créatifs et trouvent régulièrement de nouveaux moyens de
prendre en défaut les infrastructures DNS. De nouvelles techniques de plus en plus
complexes voient le jour. Les règles mises en place ne permettent pas de s’adapter aux
menaces persistantes et élaborées rapidement. En effet, certaines solutions existantes ont
plus d’une centaine de règles à configurer et à maintenir ; une tâche qui peut se révéler
cauchemardesque.
Un filtrage basé sur une analyse superficielle : un risque élevé d’exclure les requêtes
légitimes
Lorsqu’elles détectent une attaque, les solutions mises en place peuvent « blacklister »
l’adresse IP identifiée comme responsable de l’attaque. À l’aide d’un malware installé dans
de nombreuses machines, un pirate informatique est capable de générer des attaques
contre les services DNS. Afin de préserver la disponibilité des services, le système de
protection bloque les requêtes en provenance de l’adresse IP qui génère l’attaque. Or cette
adresse, et donc la machine qui y est rattachée, peut être celle d’un client, d’un partenaire,
ou encore la vôtre…

Une certaine impuissance face aux attaques volumétriques…

Lorsque les attaques sont volumétriques (environ 63% des attaques DDoS DNS), les solutions
actuelles peuvent être rapidement saturée. Détecter une attaque volumétrique est assez
simple. En revanche, pour détecter les attaques basées sur de faibles volumes, le mécanisme
de filtrage doit se livrer à une analyse en profondeur du contenu des messages DNS, avant
de reconstruire les résolutions de bout-en-bout demandées par les clients. Cette analyse
représente beaucoup de données à traiter et donc une importante charge de travail pour les
outils d’analyse. Lors d’une attaque volumétrique, la quantité de données explose, les outils
sont saturés et la solution de protection peut ne pas être pleinement efficace.
… et « lentes »
La plupart du temps, les attaques « lentes « ou insidieuses passent inaperçues (Phantom
attack, Sloth attack, …). Ce type d’attaque n’est pas basé sur un volume important de
requêtes envoyées sur une longue durée, mais sur des volumes plus faibles avec des
fréquences qui les rendent invisibles au filtrage.

Une vulnérabilité à l’empoisonnement du cache

Lorsqu’une solution de filtrage détecte sur un serveur DNS autoritarif un comportement
suspect, elle est censée rejeter les paquets concernés et tenter de répondre seulement aux
requêtes légitimes. Problème : rejeter des paquets laisse des requêtes sans réponse. Or, le
délai d’attente de réponse du serveur récursif constitue une opportunité pour les pirates
pour empoisonner le cache en répondant à la place du serveur autoritatif. L’un des objectifs
des hackers est donc de déclencher le mécanisme de filtrage avec des faux positifs pour
accéder au cache des serveurs.

Une attaque du serveur = une menace directe du business de l’entreprise

Si les hackers changent leurs méthodes, les Responsables de la Sécurité Informatique
doivent également revoir leur approche en matière de cybersécurité : le business de
l’entreprise en dépend.
Il existe aujourd’hui de nouvelles solutions qui détectent et identifient les différents types
d’attaques et adaptent les contre-mesures au profil de l’attaque. Ces solutions sont
développées spécifiquement pour le service DNS ce qui leur permet d’être plus efficace et
plus performante.

Responsables de la Sécurité Informatique, réveillez-vous !

1 Source : Status Report “DNS Connectivity Issues”