Attaque d'amplification DNS

L'amplification du DNS est une attaque DDoS qui se sert des résolveurs du DNS pour submerger une victime de trafic.

Objectifs d’apprentissage

Après avoir lu cet article, vous saurez :

  • Définissez une attaque d'amplification du DNS
  • Expliquez comment fonctionne une attaque par amplification du DNS
  • Découvrez plusieurs stratégies d'atténuation des attaques par amplification du DNS

Copier le lien de l'article

Qu’est-ce qu’une attaque par amplification DNS ?

Il s’agit d’une attaque DDoS (déni de service distribué) volumétrique, fondée sur la réflexion, lors de laquelle un pirate exploite la fonctionnalité de résolveurs DNS ouverts pour surcharger un serveur ou un réseau cible avec une quantité de trafic amplifiée, afin de rendre inaccessibles le serveur et son infrastructure environnante.

Comment fonctionne une attaque par amplification DNS ?

Toutes les attaques par amplification exploitent un écart dans la consommation de bande passante entre l’auteur de l’attaque et la ressource web ciblée. Lorsque cet écart de consommation est amplifié par de nombreuses requêtes, le volume de trafic qui en résulte peut perturber l’infrastructure du réseau. En envoyant de petites requêtes entraînant des réponses volumineuses, un utilisateur malveillant est capable de lancer une attaque très puissante, même s’il ne dispose que de ressources limitées. L’accentuation de cet effet d’amplification, obtenu en ordonnant à chaque bot présent dans un botnet d’émettre des requêtes similaires, permet au pirate d’échapper à la détection et de tirer profit d’une augmentation considérable du trafic hostile.


Le rôle d’un simple bot lors d’une attaque par amplification DNS s’apparente à celui d’un adolescent facétieux qui appellerait un restaurant en disant : « Je vais commander chaque plat de votre menu. Merci de me rappeler pour me confirmer l’ensemble de ma commande. » Lorsque le restaurant demande un numéro de rappel, l’adolescent lui communique un numéro de téléphone qui s’avère être celui de la victime ciblée. La cible reçoit alors un appel du restaurant l’inondant d’informations qu’elle n’a pas demandées.


Chaque bot envoie des requêtes demandant l’ouverture des résolveurs DNS à l’aide d’une adresse IP usurpée (remplacée par l’adresse IP source réelle de la victime ciblée), et la cible reçoit une réponse des résolveurs. Afin de générer une grande quantité de trafic, le pirate structure la requête de manière à générer une réponse aussi volumineuse que possible de la part des résolveurs DNS. En conséquence, la cible reçoit le trafic initialement émis par le pirate, fortement amplifié par ce processus ; son réseau devient encombré par le trafic indésirable, entraînant un déni de service.

Schéma d’une attaque DDoS par amplification DNS 

Une attaque par amplification DNS peut être décomposée en quatre étapes :

  1. Le pirate utilise un point de terminaison compromis pour envoyer des paquets UDP à un récurseur DNS à l’aide d’adresses IP usurpées. L’adresse usurpée contenue dans les paquets renvoie vers l’adresse IP réelle de la victime.
  2. Chacun des paquets UDP envoie une requête à un résolveur DNS, en transmettant souvent un argument du type « ANY », afin de recevoir la réponse la plus volumineuse possible.
  3. Après avoir reçu ces requêtes, le résolveur DNS (qui essaie d’effectuer son travail en répondant) envoie une réponse volumineuse à l’adresse IP usurpée.
  4. L’adresse IP de la cible reçoit la réponse et l’infrastructure de réseau environnante se retrouve submergée sous un flot de trafic, provoquant ainsi un déni de service.

Si l’action de quelques requêtes isolées ne suffit pas à provoquer une défaillance de l’infrastructure réseau, l’amplification résultant de la multiplication de cette séquence sur nombreux résolveurs DNS et requêtes peut entraîner la réception d’un considérable volume de données par la cible. En savoir plus sur les détails techniques des attaques par réflexion.

Comment atténuer une attaque par amplification DNS ?

Les options d’atténuation à la disposition d’un particulier ou d’une entreprise gérant un site web ou un service se révèlent limitées, car l’effet principal d’une attaque volumétrique n’est pas ressentie au niveau du serveur du particulier ou de l’entreprise, même s’il peut en être la cible. En raison du volume élevé de trafic généré, c’est l’infrastructure environnante du serveur qui fait les frais de l’attaque. Les fournisseurs d’accès Internet (FAI) ou les autres fournisseurs d’infrastructure en amont peuvent ne pas être en mesure de gérer le trafic entrant sans être submergés. En conséquence, le FAI peut rediriger vers un trou noir l’ensemble du trafic destiné à l’adresse IP de la victime ciblée, une mesure qui lui permet de se protéger au prix de la mise hors ligne du site de la cible. En dehors des services de protection hors site, tels que la protection anti-DDoS de Cloudflare, les stratégies d’atténuation reposent principalement sur des solutions préventives pour l’infrastructure Internet.

Réduisez le nombre total de résolveurs de DNS ouverts

Un élément essentiel des attaques par amplification DNS réside dans l’accès à des résolveurs DNS ouverts. Il suffit aux pirates de découvrir des résolveurs DNS incorrectement configurés et exposés à Internet pour les exploiter à leurs fins. Dans l’idéal, les résolveurs DNS ne devraient fournir leurs services qu’aux appareils connectés à un domaine de confiance. Dans le cas d’attaques par réflexion, les résolveurs DNS ouverts répondent à des requêtes provenant de n’importe quel point d’Internet, augmentant ainsi le risque d’exploitation. Limiter les capacités d’un résolveur DNS afin qu’il réponde uniquement aux requêtes provenant de sources de confiance permet de faire du serveur un vecteur peu propices aux attaques par amplification.

Vérification de l’adresse IP source : empêchez les paquets usurpés de quitter le réseau

Les requêtes UDP transmises par le botnet de l’auteur de l’attaque doivent disposer d’une adresse IP source usurpée renvoyant vers l’adresse IP de la victime. Un élément essentiel de la réduction de l’efficacité des attaques par amplification basées sur le protocole UDP réside donc dans le rejet, par les fournisseurs d’accès Internet (FAI), de tout trafic interne présentant utilisant des adresses IP usurpées. Si un paquet est envoyé depuis l’intérieur du réseau avec une adresse source laissant croire qu’il provient de l’extérieur du réseau, il s’agit probablement d’un paquet usurpé, qui peut donc être abandonné. Cloudflare recommande vivement à tous les fournisseurs de mettre en place un filtrage des entrées et, à certains moments, contactera directement les FAI qui participent à leur insu aux attaques DDoS, afin de les aider à prendre conscience de leur vulnérabilité.

Comment les solutions Cloudflare atténuent-elles les attaques par amplification DNS ?

Avec un pare-feu correctement configuré et une capacité réseau suffisante (qui n’est pas toujours simple à mettre en place, sauf si vous disposez de la capacité de Cloudflare), le blocage des attaques par réflexion, comme les attaques par amplification DNS, devient un jeu d’enfant. Bien que l’attaque ne cible qu’une seule adresse IP, notre réseau Anycast disperse l’ensemble du trafic hostile jusqu’à le purger totalement de son caractère déstabilisant. Les solutions Cloudflare s’appuient sur les avantages d’un vaste réseau pour répartir le poids de l’attaque sur de nombreux datacenters. Elles parviennent ainsi à équilibrer la charge, afin de prévenir toute interruption de service et d’empêcher l’attaque de surcharger l’infrastructure du serveur ciblé. Au cours des six derniers mois, « Gatebot », notre système d’atténuation des attaques DDoS, a détecté 6 329 attaques par réflexion simples (soit une attaque toutes les 40 minutes) ; toutes ont été atténuées avec succès par le réseau. En savoir plus sur la protection avancée contre les attaques DDoS de Cloudflare.

Service commercial