Ataque DNS

Une attaque DNS est un exploit dans lequel un attaquant profite des vulnérabilités du système de noms de domaine (DNS).

Pour comprendre comment les attaques DNS fonctionnent, il est important de comprendre d’abord comment le système de noms de domaine fonctionne. Le DNS est un protocole qui traduit un nom de domaine convivial, comme WhatIs.com, en adresse IP conviviale pour l’ordinateur 206.19.49.154.

Lorsqu’un utilisateur final tape le nom de domaine convivial WhatIs.com dans le navigateur d’un client, un programme du système d’exploitation du client appelé résolveur DNS recherche l’adresse IP numérique de WhatIs.com. D’abord, le résolveur DNS vérifie son propre cache local pour voir s’il a déjà l’adresse IP de WhatIs.com. S’il n’a pas l’adresse, le résolveur interroge alors un serveur DNS pour voir s’il connaît l’adresse IP correcte de WhatIs.com. Les serveurs DNS sont récursifs, ce qui signifie simplement qu’ils peuvent s’interroger les uns les autres pour trouver un autre serveur DNS qui connaît l’adresse IP correcte ou trouver le serveur DNS faisant autorité qui stocke la correspondance canonique du nom de domaine WhatIs.com à son adresse IP. Dès que le résolveur localise l’adresse IP, il renvoie l’adresse IP au programme demandeur et met l’adresse en cache pour une utilisation ultérieure.

Bien que le DNS soit assez robuste, il a été conçu pour la facilité d’utilisation, pas pour la sécurité, et les types d’attaques DNS utilisés aujourd’hui sont nombreux et assez complexes, profitant de la communication aller-retour entre les clients et les serveurs. En général, les attaquants tirent parti de la communication en texte clair entre les clients et les trois types de serveurs DNS. Une autre stratégie d’attaque populaire consiste à se connecter au site Web d’un fournisseur DNS avec des informations d’identification volées et à rediriger les enregistrements DNS.

Pour réduire les risques d’attaque DNS, les administrateurs de serveurs doivent utiliser la dernière version du logiciel DNS, surveiller constamment le trafic et configurer les serveurs pour dupliquer, séparer et isoler les différentes fonctions DNS. Pour se défendre contre les attaques DNS, les experts recommandent de mettre en place une authentification multifactorielle lors des modifications apportées à l’infrastructure DNS de l’organisation. Le personnel d’exploitation doit également surveiller toute modification publiquement associée à ses enregistrements DNS ou à tout certificat numérique associé à son organisation. Une autre stratégie consiste à déployer les extensions de sécurité du système de noms de domaine (DNSSEC), qui renforcent l’authentification dans le DNS en utilisant des signatures numériques basées sur la cryptographie à clé publique.

Vecteurs d’attaque DNS

Les types d’attaques DNS comprennent :

L’attaque à jour zéro – l’attaquant exploite une vulnérabilité précédemment inconnue dans la pile de protocole DNS ou le logiciel du serveur DNS.

L’empoisonnement du cache – l’attaquant corrompt un serveur DSN en remplaçant une adresse IP légitime dans le cache du serveur par celle d’une autre adresse fictive afin de rediriger le trafic vers un site web malveillant, de collecter des informations ou de lancer une autre attaque. L’empoisonnement du cache peut également être appelé empoisonnement du DNS.

Déni de service – une attaque dans laquelle un bot malveillant envoie envoyer plus de trafic à une adresse IP ciblée que les programmeurs qui ont planifié ses tampons de données ont prévu que quelqu’un pourrait envoyer. La cible devient incapable de résoudre les demandes légitimes.

Déni de service distribué – l’attaquant utilise un botnet pour générer des quantités massives de demandes de résolution à une adresse IP ciblée.

Amplification du DNS – l’attaquant profite d’un serveur DNS qui autorise les recherches récursives et utilise la récursion pour propager son attaque à d’autres serveurs DNS.

DNS à flux rapide – l’attaquant échange des enregistrements DNS avec une fréquence extrême afin de rediriger les demandes DNS et d’éviter la détection.

D’où l’importance d’une bonne gestion du DNS.