Attaque d'amplification DNS

L'amplification du DNS est une attaque DDoS qui se sert des résolveurs du DNS pour submerger une victime de trafic.

Share facebook icon linkedin icon twitter icon email icon

Attaque d'amplification DNS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définissez une attaque d'amplification du DNS
  • Expliquez comment fonctionne une attaque par amplification du DNS
  • Découvrez plusieurs stratégies d'atténuation des attaques par amplification du DNS

Qu'est-ce qu'une attaque d'amplification du DNS ?

Cette attaque DDoS est une attaque par déni de service distribué (DDoS) volumétrique basée sur la réflexion, dans laquelle un pirate exploite la fonctionnalité des résolveurs DNS ouverts afin de submerger un serveur ou un réseau cible avec une quantité de trafic amplifiée, rendant le serveur et son infrastructure environnante inaccessibles.

Comment fonctionne une attaque par amplification du DNS ?

Toutes les attaques par amplification exploitent une disparité de consommation de bande passante entre un pirate et la ressource web ciblée. Lorsque la disparité de coût est amplifiée par de nombreuses requêtes, le volume de trafic qui en résulte peut perturber l'infrastructure du réseau. En envoyant de petites requêtes qui donnent lieu à des réponses volumineuses, le pirate est en mesure d'obtenir plus avec moins. En multipliant cette amplification par des requêtes similaires de chaque bot d'un réseau de zombies le pirate est à la fois empêché de détecter et de subir les conséquences d'une forte augmentation du trafic d'attaque.


Un seul bot dans une attaque d'amplification DNS peut être comparé à un adolescent malveillant qui appelle un restaurant et dit "Je vais prendre un plat de tout ce que vous avez, s'il vous plaît, rappelez-moi et dites-moi tout ce que j'ai commandé". Lorsque le restaurant demande un numéro de rappel, le numéro donné est le numéro de téléphone de la victime ciblée. La cible reçoit alors un appel du restaurant qui lui fournit un grand nombre de renseignements qu'elle n'a pas demandés.


Lorsque chaque bot demande l'ouverture des résolveurs DNS avec une adresse IP usurpée, qui a été remplacée par l'adresse IP source réelle de la victime ciblée, la cible reçoit alors une réponse des résolveurs DNS. Afin de créer une grande quantité de trafic, le pirate structure la demande de manière à générer une réponse des résolveurs DNS aussi importante que possible. En conséquence, la cible reçoit une amplification du trafic initial du pirate, et son réseau est encombré par le trafic indésirable, ce qui entraîne un déni de service.

DNS Amplification DDoS Attack Diagram

A DNS amplification can be broken down into four steps:

  1. Le pirate utilise un point d'extrémité compromis pour envoyer des paquets UDP avec des adresses IP usurpées à un récupérateur DNS. L'adresse usurpée sur les paquets pointe vers l'adresse IP réelle de la victime.
  2. Each one of the UDP packets makes a request to a DNS resolver, often passing an argument such as “ANY” in order to receive the largest response possible.
  3. Après avoir reçu les demandes, le résolveur DNS, qui essaie de se montrer utile en répondant, envoie une réponse volumineuse à l'adresse IP usurpée.
  4. L'adresse IP de la cible reçoit la réponse et l'infrastructure de réseau environnante est submergée par un flot de trafic, ce qui entraîne un déni de service.

Si quelques requêtes ne suffisent pas à désactiver l'infrastructure du réseau, lorsque cette séquence est multipliée par des requêtes multiples et des résolveurs DNS, l'amplification des données reçues par la cible peut être substantielle. En savoir plus sur les détails techniques des attaques par réflexion.

Comment une attaque d'amplification du DNS est-elle atténuée ?

Pour un particulier ou une entreprise qui gère un site web ou un service, les options d'atténuation sont limitées. Cela est dû au fait que le serveur du particulier, bien qu'il puisse être la cible, n'est pas l'endroit où l'effet principal d'une attaque volumétrique se fait sentir. En raison de la quantité élevée de trafic généré, l'infrastructure entourant le serveur en ressent les effets. Le fournisseur d'accès à Internet (FAI) ou d'autres fournisseurs d'infrastructure en amont peuvent ne pas être en mesure de gérer le trafic entrant sans être submergés. En conséquence, le FAI peut bloquer tout le trafic vers l'adresse IP de la victime ciblée, se protégeant ainsi et mettant le site de la cible hors ligne. Les stratégies d'atténuation, à part les services de protection hors site comme la protection DDoS de Cloudflare, sont principalement des solutions préventives pour l'infrastructure Internet.

Réduire le nombre total de résolveurs de DNS ouverts

Un élément essentiel des attaques d'amplification du DNS est l'accès à des résolveurs de DNS ouverts. Lorsque des résolveurs DNS mal configurés sont exposés à l'internet, il suffit à un pirate pour exploiter un résolveur DNS de le découvrir. Dans l'idéal, les résolveurs DNS ne devraient fournir leurs services qu'à des appareils qui proviennent d'un domaine de confiance. Dans le cas d'attaques par réflexion, les résolveurs DNS ouverts répondront aux requêtes provenant de n'importe quel endroit sur l'internet, ce qui donnera lieu à une exploitation potentielle. Restreindre un résolveur DNS de manière à ce qu'il ne réponde qu'aux requêtes provenant de sources fiables fait du serveur un mauvais véhicule pour tout type d'attaque par amplification.

Vérification de l'IP source – empêchez les paquets usurpés de quitter le réseau

Étant donné que les requêtes UDP envoyées par le botnet du pirate doivent avoir une adresse IP source tronquée à l'adresse IP de la victime, pour réduire l'efficacité des attaques d'amplification basées sur l'UDP, il est essentiel que les fournisseurs d'accès Internet (FAI) rejettent tout trafic interne avec des adresses IP usurpées. Si un paquet est envoyé depuis l'intérieur du réseau avec une adresse source qui donne l'impression qu'il provient de l'extérieur du réseau, il s'agit probablement d'un paquet usurpé et il doit être rejeté. Cloudflare recommande vivement à tous les fournisseurs de mettre en place un filtrage d'entrée et, parfois, contacte les FAI qui participent à leur insu à des attaques DDoS et les aide à prendre conscience de leur vulnérabilité.

Comment Cloudflare atténue-t-il les attaques d'amplification du DNS ?

Avec un pare-feucorrectement configuré et une capacité réseau suffisante (ce qui n'est pas toujours facile à obtenir, sauf si vous avez la taille de Cloudflare), il est trivial de bloquer les attaques par réflexion telles que les attaques par amplification DNS. Bien que l'attaque cible une seule adresse IP, notre réseau Anycastdispersera tout le trafic d'attaque au point qu'il ne soit plus perturbateur. Cloudflare est en mesure d'utiliser notre avantage de taille pour répartir le poids de l'attaque sur de nombreux centres de données, en équilibrant la charge de sorte que le service ne soit jamais interrompu et que l'attaque ne submerge jamais l'infrastructure du serveur ciblé. Au cours d'une récente période de six mois, notre système d'atténuation des DDoS, "Gatebot", a détecté 6 329 attaques par simple réflexion (soit une toutes les 40 minutes), et le réseau a réussi à les atténuer toutes. En savoir plus sur la protection avancée contre les DDoS de Cloudflare.