Qu’est-ce qu’une attaque par amplification DNS ?

Une attaque par amplification DNS est une forme d’attaque Déni de service distribué (DDoS) qui abuse des serveurs DNS accessibles au public. L’attaquant profite du fait que les réponses DNS sont plus volumineuses que les requêtes correspondantes pour amplifier les effets de son attaque et envoyer plus de données à la cible visée.

Lisez le livre électronique En savoir plus

Comment fonctionne une attaque par amplification DNS ?

Les attaques par amplification DNS fonctionnent en utilisant l’usurpation d’adresse IP pour envoyer plus de données à la cible qu’un attaquant n’en envoie. L’acteur malveillant fera une requête à un service légitime, comme un serveur DNS, avec l’adresse IP usurpée sur celle de la victime.

Le service enverra la réponse à cette adresse. Étant donné que les attaques par amplification utilisent des protocoles dont les réponses sont plus importantes que la requête correspondante, cela permet à l’attaquant de consommer plus de bande passante de sa cible qu’il n’en utilise dans ses attaques volumétriques.

Les attaques par amplification DNS tirent parti des résolveurs DNS ouverts pour améliorer l’efficacité d’une attaque DDoS. Le DNS est un choix populaire pour les attaques par amplification pour plusieurs raisons, notamment :

Facteur Description Avantage pour l’attaquant
Utilisation d’UDP Le DNS utilise souvent UDP, qui ne permet pas la vérification de la poignée de main. Usurpation d’adresse IP plus facile pour les attaquants.
Protocole de confiance Le DNS est un protocole Internet fondamental, souvent autorisé par des pare-feu. Contournez le filtrage du pare-feu en fonction du type de protocole.
Réponses plus larges Les réponses DNS contiennent toutes les données demandées dépassant la taille de la demande. Amplifie le volume de données envoyé à la cible.
Réponses configurables Les attaquants peuvent créer des enregistrements DNS massifs pour une amplification encore plus grande. Maximise l’impact de l’attaque.
Demandes légitimes Les attaques peuvent utiliser des domaines légitimes, ce qui rend inefficace le filtrage basé sur les noms de domaine. Difficile de distinguer du trafic réel.

L’impact de l’attaque par amplification DNS

Les attaques par amplification DNS sont un exemple d’attaque DDoS volumétrique. L’objectif de ces attaques est d’inonder la cible d’un trafic de spam suffisant pour consommer toute la bande passante de son réseau ou une autre ressource rare (puissance de calcul, etc.).

En utilisant le DNS pour l’amplification, un attaquant peut submerger une cible tout en utilisant une fraction des ressources consommées par son attaque. Souvent, les attaques DDoS sont conçues pour mettre hors ligne un service cible. Si l’attaquant utilise toutes les ressources disponibles, aucune n’est disponible pour les utilisateurs légitimes, ce qui rend le service inutilisable.

Cependant, les attaques à plus petite échelle peuvent également avoir des effets négatifs sur leurs cibles...

Même si un service n’est pas complètement mis hors ligne, la dégradation des performances peut avoir un effet négatif sur ses clients. De plus, toutes les ressources consommées par l’attaque coûtent de l’argent à la cible sans apporter de profit à l’entreprise.

Stratégie d’atténuation des attaques par amplification DNS

Voici la stratégie d’atténuation contre ces attaques DNS :

  • Vérification de l’adresse IP source : Les attaques par amplification DNS nécessitent que l’attaquant effectue une usurpation d’adresse IP. La vérification de l’adresse IP source peut identifier ce trafic réseau usurpé, ce qui permet à l’organisation de le bloquer.
  • Filtrage dynamique des paquets : Les paquets d’attaque par amplification DNS sont des réponses DNS sans requête correspondante. Le suivi de l’état des connexions DNS permet d’identifier et de bloquer ces requêtes malveillantes avant qu’elles n’atteignent le système cible.
  • Réponses DNS limitant le débit : Les attaques par amplification DNS reposent sur la capacité de l’attaquant à inonder la cible d’un grand volume de réponses DNS. Limiter le débit de données DNS autorisées à atteindre un ordinateur peut aider à le protéger contre cette attaque.

Ces mesures sont conçues pour protéger la cible de ce type d’attaques.

La menace globale peut également être gérée en contrôlant l’accès aux résolveurs DNS pour éviter qu’ils ne soient utilisés dans ces attaques.

Comment Check Point atténue les attaques par amplification DNS

En tirant parti de l’effet d’amplification fourni par le DNS, un attaquant peut lancer une attaque beaucoup plus importante qu’il ne le pourrait directement. Cependant, le DNS n’est pas la seule option d’amplification DDoS disponible, ni même celle avec le plus grand facteur d’amplification.

La protection contre l’amplification DNS et d’autres attaques DDoS nécessite une solution d’atténuation des attaques DDoS capable de filtrer le trafic d’attaque et le trafic légitime avant qu’il n’atteigne le serveur cible.

Check Point Quantum Protecteur contre les attaques par déni de service (DDoS) offre une détection et une prévention en temps réel des attaques DDoS jusqu’à 800 Gbit/s, offrant ainsi une protection robuste contre la menace DDoS. Pour plus d’informations sur Quantum Protecteur contre les attaques par déni de service (DDoS, Denial-of-service attack) et ses capacités, consultez cette fiche technique.

Commencez

Protection contre les DDoS 

Le guide définitif du déni de service en cas de demande de rançon (RDoS)

Livre électronique sur le choix de la bonne solution DDoS

Pare-feu de nouvelle génération

Sujets connexes

Qu'est-ce que la sécurité DNS ?

DNS (Serveur de Nom de Domaine)

Attaque DDoS

Sécurité de l’IdO

DoS vs DDoS

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK