Vous n’êtes pas sans savoir que le DNS - indispensable au bon fonctionnement de tout trafic réseau en entreprise - est de plus en plus ciblé par les cybercriminels. En février 2019, l’ICANN alertait sur la hausse des attaques mondiales autour des infrastructures DNS. Pour vous protéger, il est indispensable d’en savoir plus sur ces attaques afin de mieux vous protéger. Quelles sont donc les 3 grandes catégories d’attaques DNS ? Pourquoi les solutions de sécurité classiques ne conviennent plus ? Interdata fait le point.
Aujourd’hui, il est communément admis que le DNS constitue l’un des services IT les plus critiques pour une entreprise, quel que soit son domaine d’activité. De nombreux rapports émanant d’experts, d’analystes et d’instituts de recherche mondialement reconnus, ont démontré l’importance du service DNS pour garantir la continuité de l’activité. Les pirates peuvent avoir pour objectif, par exemple, de perturber l’activité de l’organisation, corrompre des données ou encore dérober des informations.
Pour atteindre leurs objectifs, les pirates sont en recherche permanente de vulnérabilités potentiellement exploitables. Avec le temps, ils ont développé une grande variété d’attaques DNS, que l’on peut classer en trois grandes catégories.
Ces attaques visent à faire tomber le serveur en le submergeant de requêtes en très grand nombre, entraînant la dégradation ou l’indisponibilité du service.
Attaques DoS furtives / par injection lente
Émission de faibles volumes de requêtes DNS spécifiques visant à épuiser la capacité de traitement des requêtes sortantes, se traduisant également par la dégradation ou l’indisponibilité du service.
Exploits
Ces attaques visent à exploiter les bugs et/ou failles du protocole ou des services DNS, ou du système d’exploitation sous-jacent.
Attaques DoS DNS directes
Submersion des serveurs DNS par de très gros volumes de requêtes directes, provoquant la saturation du cache et des fonctions récursives/d’autorité. Ces attaques sont généralement menées depuis des adresses IP usurpées (spoofind).
Réflexion DNS
Attaques utilisant de nombreux de nombreux serveurs de résolution ouverts et distribués pour submerger les serveurs d’autorité de la victime (généralement associées aux attaques par amplifications).
NIXDOMAIN
Submersion des serveurs DNS avec des requêtes de domaines inexistants, provoquant une saturation des fonctions récursives.
Amplification DNS (DDoS)
Requêtes DNS spécifiques générant une réponse amplifiée afin de submerger les serveurs par un trafic très important.
Attaques basées sur des requêtes envoyées au domaine d’autorité du pirate, dont les réponses volontairement très lentes du serveur, juste avant la fin du délai, provoquent l’épuisement des capacités récursives du serveur de la victime.
Attaques ciblant les fonctions de résolution DNS en leur soumettant des requêtes de sous-domaines pour lesquels le serveur de domaine est injoignable, provoquant la saturation du cache du serveur.
Attaques basées sur des requêtes de noms aléatoires (random) provoquant la saturation des fonctions récursives et d’autorité du serveur.
Ces attaques exploitent les failles de sécurité DNS pour lesquelles aucun correctif n’est encore disponible.
Attaques visant à exploiter les bugs et/ou failles du protocole ou des services DNS, ou du système d’exploitation sous-jacent.
Ces attaques sont basées sur des requêtes DNS anormales visant à provoquer l’arrêt du service ou son dérèglement.
Le protocole DNS est utilisé pour encapsuler d’autres protocoles ou des données afin de contrôler à distance des logiciels malveillants et/ou l’exfiltration de données.
Ces attaques introduisent des données dans le cache du serveur de résolution, le forçant à retourner une adresse IP invalide et détourner le trafic vers la machine du pirate.
À l’heure actuelle, le service DNS fait partie des services les plus visés lors d’attaques de type DoS (davantage que le courrier électronique), tandis que 91% des logiciels malveillants s’appuient sur ce protocole pour communiquer avec leurs serveurs de commande et contrôle (C&C) ou exfiltrer des données confidentielles. Les pirates sont constamment à la recherche de nouvelles vulnérabilités DNS qui leur permettraient de compromettre la sécurité de l’infrastructure IT.
Avec ces attaques qui combinent plusieurs vecteurs d’agression simultanés, les mécanismes de défense classiques s'avèrent clairement dépassés. Le service DNS étant un protocole « sans connexion », il est impératif de disposer de capacités d’analyse élaborées pour véritablement identifier les menaces dissimulées au sein du trafic, et pouvoir déclencher des contre-mesures adaptées, afin de garantir l’intégrité et la disponibilité du service.
En conséquence, les solutions de sécurité doivent être conçues pour offrir une protection contre des types spécifiques d’attaques, plutôt que contre certaines menaces précises, dont il est très difficile, voire impossible, de maintenir à jour une liste exhaustive. En plus d’être coûteuse, cette dernière approche comporte le risque de bloquer des requêtes légitimes (faux positifs).
Ce qu’il faut retenir :
Face à la recrudescence des cyberattaques visant le DNS, il est indispensable pour les entreprises de savoir se protéger. Les solutions de sécurité classiques existantes constituent un premier niveau de protection contre les attaques DNS. En revanche, elles montrent d’ores et déjà leurs limites et peuvent s’avérer dangereuses si elles ne sont pas utilisées avec toutes les précautions qui s’imposent. Il est grand temps d’envisager de nouvelles façon de parer les attaques DNS. Vous avez besoin d’aide ? Contactez nos équipes d’experts !