DNS amplification attack

L'amplification du DNS est une attaque DDoS qui se sert des résolveurs du DNS pour submerger une victime de trafic.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Définissez une attaque d'amplification du DNS
  • Expliquez comment fonctionne une attaque par amplification du DNS
  • Découvrez plusieurs stratégies d'atténuation des attaques par amplification du DNS

Copier le lien de l'article

Qu’est-ce qu’une attaque par amplification DNS ?

Il s’agit d’une attaque DDoS (déni de service distribué) volumétrique, fondée sur la réflexion, lors de laquelle un pirate exploite la fonctionnalité de résolveurs DNS ouverts pour surcharger un serveur ou un réseau cible avec une quantité de trafic amplifiée, afin de rendre inaccessibles le serveur et son infrastructure environnante.

Comment fonctionne une attaque par amplification DNS ?

All amplification attacks exploit a disparity in bandwidth consumption between an attacker and the targeted web resource. When the disparity in cost is magnified across many requests, the resulting volume of traffic can disrupt network infrastructure. By sending small queries that result in large responses, the malicious user is able to get more from less. By multiplying this magnification by having each bot in a botnet make similar requests, the attacker is both obfuscated from detection and reaping the benefits of greatly increased attack traffic.

Le rôle d’un simple bot lors d’une attaque par amplification DNS s’apparente à celui d’un adolescent facétieux qui appellerait un restaurant en disant : « Je vais commander chaque plat de votre menu. Merci de me rappeler pour me confirmer l’ensemble de ma commande. » Lorsque le restaurant demande un numéro de rappel, l’adolescent lui communique un numéro de téléphone qui s’avère être celui de la victime ciblée. La cible reçoit alors un appel du restaurant l’inondant d’informations qu’elle n’a pas demandées.

As a result of each bot making requests to open DNS resolvers with a spoofed IP address, which has been changed to the real source IP address of the targeted victim, the target then receives a response from the DNS resolvers. In order to create a large amount of traffic, the attacker structures the request in a way that generates as large a response from the DNS resolvers as possible. As a result, the target receives an amplification of the attacker’s initial traffic, and their network becomes clogged with the spurious traffic, causing a denial-of-service.

Schéma d’une attaque DDoS par amplification DNS 

Une attaque par amplification DNS peut être décomposée en quatre étapes :

  1. Le pirate utilise un point de terminaison compromis pour envoyer des paquets UDP à un récurseur DNS à l’aide d’adresses IP usurpées. L’adresse usurpée contenue dans les paquets renvoie vers l’adresse IP réelle de la victime.
  2. Chacun des paquets UDP envoie une requête à un résolveur DNS, en transmettant souvent un argument du type « ANY », afin de recevoir la réponse la plus volumineuse possible.
  3. Après avoir reçu ces requêtes, le résolveur DNS (qui essaie d’effectuer son travail en répondant) envoie une réponse volumineuse à l’adresse IP usurpée.
  4. L’adresse IP de la cible reçoit la réponse et l’infrastructure de réseau environnante se retrouve submergée sous un flot de trafic, provoquant ainsi un déni de service.

Si l’action de quelques requêtes isolées ne suffit pas à provoquer une défaillance de l’infrastructure réseau, l’amplification résultant de la multiplication de cette séquence sur nombreux résolveurs DNS et requêtes peut entraîner la réception d’un considérable volume de données par la cible. En savoir plus sur les détails techniques des attaques par réflexion.

Comment atténuer une attaque par amplification DNS ?

For an individual or company running a website or service, mitigation options are limited. This comes from the fact that the individual’s server, while it might be the target, is not where the main effect of a volumetric attack is felt. Due to the high amount of traffic generated, the infrastructure surrounding the server feels the impact. The Internet Service Provider (ISP) or other upstream infrastructure providers may not be able to handle the incoming traffic without becoming overwhelmed. As a result, the ISP may blackhole all traffic to the targeted victim’s IP address, protecting itself and taking the target’s site off-line. Mitigation strategies, aside from offsite protective services like Cloudflare DDoS protection, are mostly preventative Internet infrastructure solutions.

Réduisez le nombre total de résolveurs de DNS ouverts

An essential component of DNS amplification attacks is access to open DNS resolvers. By having poorly configured DNS resolvers exposed to the Internet, all an attacker needs to do to utilize a DNS resolver is to discover it. Ideally, DNS resolvers should only provide their services to devices that originate within a trusted domain. In the case of reflection based attacks, the open DNS resolvers will respond to queries from anywhere on the Internet, allowing the potential for exploitation. Restricting a DNS resolver so that it will only respond to queries from trusted sources makes the server a poor vehicle for any type of amplification attack.

Vérification de l’adresse IP source : empêchez les paquets usurpés de quitter le réseau

Because the UDP requests being sent by the attacker’s botnet must have a source IP address spoofed to the victim’s IP address, a key component in reducing the effectiveness of UDP-based amplification attacks is for Internet service providers (ISPs) to reject any internal traffic with spoofed IP addresses. If a packet is being sent from inside the network with a source address that makes it appear like it originated outside the network, it’s likely a spoofed packet and can be dropped. Cloudflare highly recommends that all providers implement ingress filtering, and at times will reach out to ISPs who are unknowingly taking part in DDoS attacks and help them realize their vulnerability.

Comment les solutions Cloudflare atténuent-elles les attaques par amplification DNS ?

With a properly configured firewall and sufficient network capacity (which isn't always easy to come by unless you are the size of Cloudflare), it's trivial to block reflection attacks such as DNS amplification attacks. Although the attack will target a single IP address, our Anycast network will scatter all attack traffic to the point where it is no longer disruptive. Cloudflare is able to use our advantage of scale to distribute the weight of the attack across many Data Centers, balancing the load so that service is never interrupted and the attack never overwhelms the targeted server’s infrastructure. During a recent six month window our DDoS mitigation system "Gatebot" detected 6,329 simple reflection attacks (that's one every 40 minutes), and the network successfully mitigated all of them. Learn more about Cloudflare's advanced DDoS Protection.

Service commercial