Sécurité DNS

DNS n’a pas été conçu dans un objectif de sécurité et de nombreux types d’attaques ont été créés pour exploiter les vulnérabilités du système DNS.

Share facebook icon linkedin icon twitter icon email icon

Sécurité DNS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre ce qu’est le DNSSEC et son fonctionnement
  • Se familiariser avec les attaques DNS les plus courantes
  • Différentier le DNSSEC et les autres solutions de sécurité DNS

Pourquoi la sécurité du DNS est-elle importante ?

Les requêtes DNS standard, qui sont nécessaires à quasiment tout le trafic Web, créent des opportunités d’exploitation du DNS, telles que le piratage DNS et les attaques de l’homme du milieu. Ces attaques peuvent rediriger le trafic entrant d’un site Web vers une copie falsifiée du site, dans le but de collecter des informations utilisateur sensibles, ce qui expose les entreprises à de graves poursuites. Une des protections les plus connues contre les menaces sur le DNS est l’adoption du protocole DNSSEC.

Qu’est ce que le DNSSEC ?

Comme de nombreux protocoles Internet, le système DNS n’a pas été conçu dans un objectif de sécurité et il contient plusieurs limites de conception. Ces limites, combinées aux avancées technologiques, ont permis aux pirates d’attaquer facilement une recherche DNS dans un but malveillant, comme envoyer un utilisateur vers un site Web frauduleux qui peut distribuer un logiciel malveillant ou recueillir des informations personnelles. Le DNSSEC (DNS Security Extensions) est un protocole de sécurité créé pour atténuer ce problème. Le DNSSEC protège des attaques en apposant une signature numérique afin d’en assurer la validité. Afin d’assurer la sécurité d’une recherche, la signature doit être apposée à chaque niveau du processus de recherche DNS.

Comme de nombreux protocoles Internet, le système DNS n’a pas été conçu dans un objectif de sécurité et il contient plusieurs limites de conception. Ces limites, combinées aux avancées technologiques, ont permis aux pirates d’attaquer facilement une recherche DNS dans un but malveillant, comme envoyer un utilisateur vers un site Web frauduleux qui peut distribuer un logiciel malveillant ou recueillir des informations personnelles.


Le DNSSEC (DNS Security Extensions) est un protocole de sécurité créé pour atténuer ce problème. Le DNSSEC protège des attaques en apposant une signature numérique afin d’en assurer la validité. Afin d’assurer la sécurité d’une recherche, la signature doit être apposée à chaque niveau du processus de recherche DNS.


Le processus de signature est similaire à celui d’une personne signant un document légal avec un stylo ; cette personne signe avec une signature unique que personne ne peut créer et un expert de la cour peut examiner cette signature et certifier que le document a bien été signé par cette personne. Ces signatures numériques garantissent que les données n’ont pas été altérées.


Le DNSSEC met en œuvre une règle de signature numérique hiérarchique sur toutes les couches DNS. Par exemple, dans le cas d’une recherche « google.com », un serveur DNS racine signe une clé pour le serveur de noms .COM, et le serveur de noms .COM signe ensuite une clé pour le serveur de noms faisant autorité de google.com.


Une sécurité renforcée est toujours à privilégier, DNSSEC est conçu pour être rétrocompatible afin de garantir que les recherches DNS sont résolues correctement, même sans la sécurité supplémentaire. DNSSEC est conçu pour fonctionner avec d’autres mesures de sécurité comme SSL/TLS dans le cadre d’une stratégie de sécurité Internet holistique.


DNSSEC crée une suite de confiance parent-enfant qui s’étend jusqu’à la zone racine. Cette chaine de confiance ne doit être compromise à aucun niveau du DNS, sous peine d’exposer la requête à une attaque par l’homme du milieu.


Pour clore la chaine de confiance, la zone racine elle-même doit être validée (prouvée exempte de falsification ou de fraude), ce qui est réalisé par intervention humaine. Étonnement, lors d’un événement appelé cérémonie de signature du certificat racine, des individus sélectionnés dans le monde entier se réunissent pour signer la racine DNSKEY RRset de façon publique et auditée.

Voici une explication plus détaillée du fonctionnement du DNSSEC >>>

Quelles sont les attaques les plus courantes sur le DNS ?

DNSSEC est un puissant protocole de sécurité, qui n’est malheureusement pas universellement adopté. Ce manque d’adoption associé à d’autres vulnérabilités potentielles, ainsi que la position centrale du DNS dans la plupart des requêtes Internet, en fait une cible privilégiée pour les attaques malveillantes. Les pirates ont découvert de nombreuses façons de cibler et d’exploiter les serveurs DNS, dont les plus courantes sont les suivantes :

Usurpation de DNS/empoisonnement du cache : Dans cette attaque, des données DNS falsifiées sont introduites dans le cache d’un résolveur DNS, qui renvoie alors une adresse IP incorrecte pour un domaine. Plutôt que d’accéder au site Web voulu, le trafic peut être dévié vers une machine malveillante ou tout autre site souhaité par le pirate ; il s’agit généralement d’une réplique du site d’origine qui est utilisé à des fins malveillantes comme la distribution de logiciels malveillants ou la collecte d’informations de connexion.

Tunnellisation de DNS : Cette attaque utilise d’autres protocoles pour passer à travers les requêtes et réponses DNS. Les pirates peuvent utiliser les protocoles SSH, TCP, ou HTTP pour passer des logiciels malveillants ou des informations dérobées dans les requêtes DNS sans être détectés par les pare-feu.

Détournement de DNS : Dans le détournement de DNS, le pirate redirige les requêtes vers un serveur de noms de domaine différent. Il utilise pour cela un logiciel malveillant ou une modification non autorisée d’un serveur DNS. Bien que le résultat soit similaire à une usurpation de DNS, il s’agit d’une attaque fondamentalement différente, car elle cible l’enregistrement DNS du site Web sur le serveur de noms plutôt que le cache du résolveur.

DNS Hijacking

Attaque NXDOMAIN : Dans ce type d’attaque DNS Flood, un pirate inonde un serveur DNS de requête en demandant des enregistrements qui n’existent pas dans le but de provoquer un déni de service sur le trafic légitime. Pour cela, le pirate utilise des outils d’attaque sophistiqués qui peuvent générer automatiquement des sous-domaines uniques pour chaque requête. Les attaques NXDOMAIN peuvent également cibler un résolveur récursif dans le but de remplir son cache de requêtes indésirables.

Attaque par nom de domaine fantôme : Une attaque par nom de domaine fantôme donne un résultat similaire à une attaque NXDOMAIN sur un résolveur DNS. Le pirate définit un ensemble de serveurs de domaines « fantômes » qui répondent très lentement aux requêtes, ou n’y répondent pas du tout. Le résolveur est ensuite assailli d’un flot de requêtes vers ces domaines et il reste bloqué dans l’attente de réponses, ce qui cause un ralentissement des performances et un déni de service.

Attaque de sous-domaine aléatoire : Dans ce cas, le pirate envoie des requêtes DNS pour plusieurs sous-domaines aléatoires et inexistants d’un site légitime. L’objectif est de créer un déni de service pour le serveur de noms faisant autorité du domaine, ce qui rend toute recherche du site Web impossible depuis le serveur de noms. En parallèle, le FAI qui dessert le pirate peut également être touché, car le cache de son résolveur récursif est encombré de mauvaises requêtes.

Attaque par verrouillage du domaine : Des acteurs malveillants réalisent ce type d’attaques en définissant des domaines et résolveurs spéciaux pour créer des connexions TCP avec d’autres résolveurs légitimes. Lorsque les résolveurs ciblés envoient des requêtes, ces domaines répondent par des flux de paquets aléatoires lents, qui immobilisent les ressources du résolveur.

Attaque CPE basé sur botnet : Ces attaques sont perpétrées via des appareils de type CPE (Customer Premise Equipment - Équipement à l’abonné, soit du matériel donné par le fournisseur de service à ses clients, comme des modems, routers, décodeurs, etc.) Les pirates compromettent les CPE et ces appareils font alors partie d’un botnet utilisé pour perpétrer des attaques de sous-domaines aléatoires contrer un site ou un domaine.

Quelle est la meilleure protection contre les attaques basées sur le DNS ?

En complément du DNSSEC, un opérateur de zone DNS peut prendre des mesures pour sécuriser davantage ses serveurs. Le sur-provisionnement de l’infrastructure est une stratégie simple pour surmonter les attaques DDoS. Pour faire simple, si votre serveur de noms peut traiter plusieurs fois le trafic attendu, une attaque basée sur le volume aura plus de mal à submerger votre serveur.


Le routage Anycast est un autre outil pratique pour contrer les attaques DDoS ; Anycast permet à plusieurs serveurs de partager une même adresse IP, ainsi, si un serveur est en panne, les autres peuvent continuer à fournir le service. Une autre stratégie populaire pour sécuriser les serveurs DNS consiste à utiliser un DNS firewall (pare-feu).

Qu’est-ce que le DNS Firewall ?

Un DNS Firewall est un outil qui peut fournir plusieurs services de sécurité et de performance aux serveurs DNS. Un DNS Firewall se trouve entre le résolveur récursif de l’utilisateur et le serveur de noms faisant autorité du site Web ou du service à atteindre. Le pare-feu peut fournir des services de limitation de débit pour contrer les pirates qui tentent de submerger le serveur. Si le serveur subit une interruption suite à une attaque ou pour toute autre raison, le DNS Firewall peut assurer le fonctionnement du site ou du service de l’opérateur en utilisant les réponses DNS présentes dans le cache. En plus de ses fonctionnalités de sécurité, un DNS peut également fournir à l’opérateur des solutions de performances, comme des recherches DNS plus rapides et des coûts de bande passante réduits. En savoir plus sur le DNS firewall de Cloudflare.

Un DNS Firewall est un outil qui peut fournir plusieurs services de sécurité et de performance aux serveurs DNS. Un DNS Firewall se trouve entre le résolveur récursif de l’utilisateur et le serveur de noms faisant autorité du site Web ou du service à atteindre. Le pare-feu peut fournir des services de limitation de débit pour contrer les pirates qui tentent de submerger le serveur.


Si le serveur subit une interruption suite à une attaque ou pour toute autre raison, le DNS Firewall peut assurer le fonctionnement du site ou du service de l’opérateur en utilisant les réponses DNS présentes dans le cache. En plus de ses fonctionnalités de sécurité, un DNS peut également fournir à l’opérateur des solutions de performances, comme des recherches DNS plus rapides et des coûts de bande passante réduits. En savoir plus sur le DNS firewall de Cloudflare.

DNS en tant qu’outil de sécurité

Les résolveurs DNS peuvent également être configurés pour fournir des solutions de sécurité à leurs utilisateurs finaux (internautes). Certains résolveurs DNS offrent des fonctionnalités telles que le filtrage de contenu qui permet de bloquer des sites connus pour distribuer des logiciels malveillants et des spams et une protection contre les botnets qui bloque les communications avec les botnets connus. De nombreux résolveurs DNS sécurisés sont gratuits et un utilisateur peut activer l’un de ces services DNS récursifs en modifiant un simple paramètre de son routeur local. Le DNS Cloudflare met l’accent sur la sécurité.