What Is a DNS Flood Attack?

Les attaques DNS flood sont des attaques Déni de service distribué (DDoS) ciblant les serveurs DNS. Ces attaques refusent l’accès au DNS, un protocole Internet essentiel, qui aide les utilisateurs à visiter des sites Web. L’absence d’accès au DNS empêche les utilisateurs de naviguer sur les sites Web dont les enregistrements DNS sont hébergés par ce serveur DNS.

Lisez le livre électronique En savoir plus

Introduction rapide au DNS

Voici une ventilation simplifiée du fonctionnement du service de noms de domaine (DNS) :

  1. Requête DNS : Lorsque vous tapez l’adresse d’un site Web dans votre navigateur, un ordinateur envoie une requête (requête DNS) à un serveur voisin appelé résolveur récursif. Cette requête légitime demande essentiellement : « Quelle est l’adresse IP du nom de ce site Web ? »
  2. La recherche : Le résolveur récursif agit comme un standardiste, contactant les serveurs de noms faisant autorité. Il s’agit de serveurs spécialisés qui détiennent les données les plus fiables (adresse IP) pour un nom de domaine spécifique.
  3. Réponse DNS : Une fois que le serveur faisant autorité a localisé l’adresse IP, il renvoie une réponse au résolveur récursif.
  4. La réponse : Le résolveur récursif relaie ensuite ces informations (adresse IP) à votre ordinateur.
  5. Connexion établie : Votre ordinateur dispose maintenant de l’adresse nécessaire et peut se connecter directement au site web.

Comment fonctionne une attaque DNS flood ?

Une attaque DNS flood fonctionne en submergeant les serveurs DNS avec une quantité massive de fausses demandes d’adresses de sites Web.

  • Fonctionnement normal : Lorsque vous essayez d’accéder à un site web, votre ordinateur contacte un serveur DNS. Le serveur DNS agit comme un annuaire téléphonique, traduisant le nom de domaine en son adresse numérique (adresse IP source) que votre ordinateur comprend.
  • L’attaque commence : Les pirates bombardent le serveur DNS d’un énorme volume de requêtes pour des adresses de sites Web inexistantes ou invalides.
  • Surcharge du système : Le serveur DNS est submergé en essayant de répondre à toutes les requêtes DNS. C’est comme si vous étiez submergé de mauvais numéros de téléphone, ce qui rend difficile la recherche du vrai numéro que vous recherchez.
  • Impact: Étant donné que le serveur est occupé à traiter des fichiers indésirables, il ne peut pas répondre aux demandes légitimes d’adresses de sites Web réels. Cela entraîne des pannes de site Web ou des temps de chargement lents.

Les attaques DNS flood peuvent être effectuées de différentes manières, mais l’une des menaces les plus courantes est un botnet L’internet des objets (IoT). Ces collections d’appareils IoT compromis peuvent être utilisées pour envoyer des quantités massives de trafic à un résolveur DNS, le mettant hors ligne s’il ne dispose pas de défenses anti-DDoS adéquates.

Impacts d’une attaque DNS flood

Voici les impacts les plus courants d’une attaque DNS flood :

Impact Description
Pannes de sites Web Les sites Web desservis par le serveur DNS ciblé deviennent inaccessibles. Les utilisateurs rencontrent des messages d’erreur ou des pages blanches.
Temps de chargement lents Un flot de fausses requêtes submerge les serveurs, retardant le traitement des requêtes légitimes et ralentissant le chargement des sites Web.
Services en ligne perturbés Perturbe les services en ligne (e-mail, banque en ligne) qui reposent sur le serveur DNS ciblé.
Perte de productivité et de revenus Les pannes de sites Web et les temps de chargement lents peuvent entraîner une perte de productivité et de revenus pour les entreprises.
Atteinte à la réputation Les attaques peuvent nuire à la réputation d’une entreprise, affectant la confiance des clients.

Le DNS est un point de défaillance unique potentiel dans l’infrastructure réseau moderne.

Si une organisation s’appuie sur un ou quelques serveurs DNS pour résoudre son nom de domaine, une inondation DNS qui met ces serveurs hors service peut rendre le site Web inaccessible aux utilisateurs, ce qui peut entraîner une perte financière potentielle. L’exemple le plus célèbre de ce type d’attaques a été une attaque contre Dyn en 2016, qui a provoqué des pannes sur des sites majeurs, notamment Netflix, PayPal et Twitter.

Atténuation des attaques DNS Flood

Les attaques DNS flood sont difficiles à protéger car elles ciblent des serveurs qui doivent être accessibles publiquement avec du spam mais aussi un trafic potentiellement légitime. Voici quelques méthodes qui rendent ces attaques difficiles à réaliser ou limitent leur efficacité :

  • Surprovisionnement des ressources : En règle générale, les attaques DNS flood sont conçues pour consommer la bande passante du réseau ou la capacité de calcul des serveurs DNS. Bien que le surdimensionnement de la bande passante du réseau et des serveurs n’empêche pas une attaque, il augmente le volume de trafic que l’attaquant devra générer et maintenir pour atteindre ses objectifs.
  • DNS Anycast : La mise en réseau Anycast envoie le trafic vers le plus proche de plusieurs ordinateurs à l’aide d’une adresse IP particulière. Avec un réseau de serveurs DNS distribué à l’échelle mondiale utilisant le réseau anycast, il est beaucoup plus difficile pour un attaquant de générer le volume de trafic nécessaire pour submerger l’ensemble de l’infrastructure DNS d’une organisation.
  • Mise en cache DNS : La mise en cache DNS enregistre des copies des enregistrements DNS couramment consultés sur un réseau de serveurs distribués. Si une requête DNS atteint le cache, elle n’est pas transmise au serveur d’origine DNS, ce qui réduit la charge sur ce serveur.
  • Limitation du débit : Les attaques DNS flood tentent de submerger un serveur DNS avec du trafic malveillant. La mise en œuvre de la limitation de débit réduit le volume de trafic qu’une adresse IP particulière peut envoyer au serveur, ce qui peut réduire l’impact d’une attaque par inondation DNS.
  • Blocage géographique : Les botnets IoT sont généralement distribués, de sorte que le trafic d’attaque peut provenir de toute une région particulière ou du monde entier. Si les utilisateurs d’un service se trouvent dans une région particulière, le blocage du trafic provenant de l’extérieur de cette région peut réduire le volume du trafic d’attaque.

La meilleure protection contre les attaques DNS flood est le déploiement de solutions d’atténuation des attaques DDoS. Ces services peuvent identifier et filtrer le trafic DNS flood, évitant ainsi qu’un serveur DNS ne soit submergé tout en lui permettant de servir les utilisateurs légitimes.

Comment Check Point atténue les attaques DNS Flood

La protection de l’infrastructure DNS est essentielle au bon fonctionnement d’Internet. Les attaques par inondation DNS représentent un risque important pour ces systèmes en raison de leur capacité à submerger les serveurs DNS avec plus de trafic qu’ils ne peuvent en gérer.

De plus, la plupart des solutions conçues pour atténuer ces attaques ne font que réduire leur efficacité, et non les bloquer entièrement. La meilleure façon de se protéger contre les inondations DNS et les attaques similaires est d’utiliser une solution d’atténuation des attaques DDoS.

Check Point Quantum Protecteur contre les attaques par déni de service (DDoS, Denial-of-service attack) offre une protection robuste contre les attaques les plus importantes, en tirant parti de l’apprentissage machine et de l’IA pour fournir une détection et une prévention en temps réel des attaques DDoS jusqu’à 800 Gbit/s. Pour en savoir plus sur les capacités de Quantum Protecteur contre les attaques par déni de service (DDoS, Denial-of-service attack) et sur la manière dont il peut réduire l’exposition de votre organisation aux inondations DNS et autres attaques DDoS, consultez cette fiche technique.

Commencez

Check Point Quantum Protecteur contre les attaques par déni de service (DDoS, Denial-of-service attack)

Quantum Spark Small Business pare-feu

Quantum NGFW

quantum titan

Sujets connexes

Qu'est-ce que le DNS ?

Attaque DDOS

Qu'est-ce que la sécurité DNS ?

Qu'est-ce que la chasse aux menaces ?

Centre des opérations de sécurité (SOC)

×
  Commentaires
Ce site web utilise des cookies pour sa fonctionnalité et à des fins d'analyse et de marketing. En continuant à utiliser ce site web, vous acceptez l'utilisation de cookies. Pour plus d'informations, veuillez lire notre avis sur les cookies.
OK