Attaque par amplification DNS

L'amplification du DNS est une attaque DDoS qui se sert des résolveurs du DNS pour submerger une victime de trafic.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définir une attaque par amplification DNS
  • Expliquer comment fonctionne une attaque par amplification DNS
  • Découvrir plusieurs stratégies d'atténuation des attaques par amplification DNS

Copier le lien de l'article

Qu’est-ce qu’une attaque par amplification DNS ?

Il s’agit d’une attaque DDoS (déni de service distribué) volumétrique, fondée sur la réflexion, lors de laquelle un pirate exploite la fonctionnalité de résolveurs DNS ouverts pour surcharger un serveur ou un réseau cible avec une quantité de trafic amplifiée, afin de rendre inaccessibles le serveur et son infrastructure environnante.

Comment fonctionne une attaque par amplification DNS ?

Toutes les attaques par amplification exploitent un écart dans la consommation de bande passante entre l'auteur de l'attaque et la ressource web ciblée. Le volume de trafic qui résulte de l'amplification de cet écart de consommation à l'aide d'un grand nombre de requêtes peut perturber l'infrastructure du réseau. En envoyant de petites requêtes entraînant des réponses volumineuses, un utilisateur malveillant peut ainsi lancer une attaque très puissante, même s'il ne dispose que de ressources limitées. L'accentuation de cet effet d'amplification (obtenu en ordonnant à chaque bot présent au sein d'un botnet d'émettre des requêtes similaires) permet au pirate d'échapper à la détection et de tirer profit d'une augmentation considérable du trafic hostile.

Le rôle d’un simple bot lors d’une attaque par amplification DNS s’apparente à celui d’un adolescent facétieux qui appellerait un restaurant en disant : « Je vais commander chaque plat de votre menu. Merci de me rappeler pour me confirmer l’ensemble de ma commande. » Lorsque le restaurant demande un numéro de rappel, l’adolescent lui communique un numéro de téléphone qui s’avère être celui de la victime ciblée. La cible reçoit alors un appel du restaurant l’inondant d’informations qu’elle n’a pas demandées.

Chaque bot envoie donc des requêtes demandant l'ouverture des résolveurs DNS à l'aide d'une adresse IP usurpée (remplacée par l'adresse IP source réelle de la victime) et la cible reçoit une réponse des résolveurs. Afin de générer une grande quantité de trafic, le pirate structure la requête de manière à générer une réponse aussi volumineuse que possible de la part des résolveurs DNS. En conséquence, la cible reçoit le trafic initialement émis par le pirate, fortement amplifié par ce processus. Son réseau se retrouve ainsi de plus en plus encombré par le trafic indésirable, jusqu'à l'apparition d'un événement de déni de service.

Une attaque par amplification DNS peut être décomposée en quatre étapes :

  1. Le pirate utilise un point de terminaison compromis pour envoyer des paquets UDP à un récurseur DNS à l’aide d’adresses IP usurpées. L’adresse usurpée contenue dans les paquets renvoie vers l’adresse IP réelle de la victime.
  2. Chacun des paquets UDP envoie une requête à un résolveur DNS, en transmettant souvent un argument du type « ANY », afin de recevoir la réponse la plus volumineuse possible.
  3. Après avoir reçu ces requêtes, le résolveur DNS (qui essaie d’effectuer son travail en répondant) envoie une réponse volumineuse à l’adresse IP usurpée.
  4. L’adresse IP de la cible reçoit la réponse et l’infrastructure de réseau environnante se retrouve submergée sous un flot de trafic, provoquant ainsi un déni de service.

Si l’action de quelques requêtes isolées ne suffit pas à provoquer une défaillance de l’infrastructure réseau, l’amplification résultant de la multiplication de cette séquence sur nombreux résolveurs DNS et requêtes peut entraîner la réception d’un considérable volume de données par la cible. En savoir plus sur les détails techniques des attaques par réflexion.

Comment atténuer une attaque par amplification DNS ?

Pour un particulier ou une entreprise gérant un site web ou un service, les options d'atténuation s'avèrent limitées, car l'effet principal d'une attaque volumétrique se fait sentir ailleurs qu'au niveau du serveur, même si ce dernier peut en être la cible. En raison de la quantité élevée de trafic généré, ces effets se ressentent ainsi plus fortement au niveau de l'infrastructure entourant le serveur. Le fournisseur d'accès à Internet (FAI) ou les autres fournisseurs d'infrastructure en amont peuvent ne pas être en mesure de traiter le trafic entrant sans être submergés sous ce dernier. Afin de se protéger, le FAI peut en conséquence rediriger vers un trou noir l'ensemble du trafic destiné à l'adresse IP de la victime, une procédure qui entraîne, de fait, la mise hors ligne du site de la cible. Hormis les services de protection hors site, tels que la protection contre les attaques DDoS de Cloudflare, les stratégies d'atténuation constituent, pour la plupart, des solutions préventives pour l'infrastructure Internet.

Réduisez le nombre total de résolveurs de DNS ouverts

Un élément essentiel des attaques par amplification DNS réside dans l'accès à des résolveurs DNS ouverts. Il suffit aux pirates de découvrir des résolveurs DNS incorrectement configurés et exposés à Internet pour les exploiter à leurs fins. Dans l'idéal, les services proposés par ces résolveurs ne devraient être accessibles qu'aux appareils connectés à un domaine de confiance. Dans le cas des attaques par réflexion, les résolveurs DNS ouverts répondent aux requêtes provenant de n'importe quel point d'Internet, avec pour résultat une augmentation du risque d'exploitation. La limitation des capacités d'un résolveur DNS (afin qu'il ne réponde qu'aux requêtes issues de sources de confiance) permet de rendre le serveur peu propice à la transmission des attaques par amplification.

Vérification de l’adresse IP source : empêchez les paquets usurpés de quitter le réseau

Comme les requêtes UDP envoyées par le botnet d'un acteur malveillant doivent s'appuyer sur l'utilisation de l'adresse IP usurpée de la victime comme adresse IP source, l'un des éléments essentiels d'une stratégie de réduction de l'efficacité des attaques par amplification fondées sur UDP mise sur le rejet par les fournisseurs d'accès Internet (FAI) de l'ensemble du trafic interne reposant sur des adresses IP usurpées. Un paquet envoyé depuis l'intérieur du réseau avec une adresse source laissant croire qu'il provient de l'extérieur du réseau constitue ainsi probablement un paquet usurpé, qui peut donc être abandonné. Cloudflare recommande vivement à tous les fournisseurs de mettre en place un filtrage des entrées et, à certains moments, contactera directement les FAI qui participent à leur insu aux attaques DDoS, afin de les aider à prendre conscience de leur vulnérabilité.

Comment les solutions Cloudflare atténuent-elles les attaques par amplification DNS ?

Avec un pare-feu correctement configuré et une capacité réseau suffisante (qui n'est pas toujours simple à mettre en place, sauf si vous disposez de la capacité de Cloudflare), le blocage des attaques par réflexion, comme les attaques par amplification DNS, devient un jeu d'enfant. Bien que l'attaque ne cible qu'une seule adresse IP, notre réseau Anycast disperse l'ensemble du trafic hostile jusqu'à le purger totalement de son caractère déstabilisant. Les solutions Cloudflare s'appuient sur les avantages d'un vaste réseau pour répartir le poids de l'attaque sur de nombreux datacenters. Elles parviennent ainsi à équilibrer la charge, afin de prévenir toute interruption de service et d'empêcher l'attaque de surcharger l'infrastructure du serveur ciblé. Au cours des six derniers mois, « Gatebot » (notre système d'atténuation des attaques DDoS) a détecté 6 329 attaques par réflexion simples (soit une attaque toutes les 40 minutes), toutes atténuées avec succès par le réseau. En savoir plus sur la protection contre les attaques DDoS avancée de Cloudflare.

Service commercial