– Date : 27 Janvier 2009

– Plateforme : Toutes

– Programme : Bind

– Gravité : Moyenne

– Exploitation : Distante

– Dommage : Déni de service

– Description :

Plusieurs organismes comme le SANS ont remonté ces derniers jours une information sur des attaques DNS. En effet, de nombreux Honeypots ont été la cible d’attaques de type Déni de service via le protocole DNS.

Pour cela, les pirates ont utilisé le protocole DNS et des requêtes de type NS. Ce type de requête permet notamment d’obtenir la liste des serveurs racines lorsqu’elles sont utilisées de la sorte :
dig @votre-machine NS .

Les pirates ont donc envoyé de nombreuses requêtes légitimes de petites tailles (quelques octets) aux serveurs DNS afin d’obtenir en réponse un message d’une taille important contenant la liste des serveurs racines. Cette technique appelée "Déni de service par amplification" est basée sur ce principe (une requête très courte provoque une réponse de taille importante).

Près de 750 000 serveurs DNS ont ainsi été la cible de ce type d’attaque.

Les pirates utilisent le protocole DNS afin de pouvoir spoofer les paquets envoyés. En effet, de simples paquets UDP dont l’adresse source peut être facilement modifiée, suffisent pour réaliser ce genre d’attaque. La mise en place de "blacklistes" côté serveur devient alors impossible.

Tous les serveurs acceptant de résoudre des requêtes récursives sont potentiellement la cible de ces attaques.

Un site de test (voir référence [2]) permet de savoir si votre serveur DNS est vulnérable ou non.

– Référence :

[1] http://isc.sans.org/diary.html?storyid=5713&rss

[2] http://isc1.sans.org/dnstest.html

– Correction :

Nous vous conseillons de configurer votre serveur DNS afin de ne pas accepter de résoudre les requêtes récursives.

– Lien extranet XMCO :

http://xmcopartners.com/veille/client/index.xmco?nv=1233050950