Qu'est-ce qu'une saturation de DNS ? | Attaque DDoS par saturation de DNS

Une attaque qui vise à saturer et à submerger un serveur DNS cible.

Share facebook icon linkedin icon twitter icon email icon

Saturation du DNS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir une attaque DDoS par saturation du DNS
  • Guide explicatif de la façon dont une attaque par saturation du DNS désactive une cible
  • Pour comprendre les méthodes d'atténuation d'une saturation du DNS

Qu'est-ce qu'une saturation de DNS ?

Les serveurs DNS (Domain Name System) sont les « répertoires » de l'internet ; ils constituent le chemin par lequel les dispositifs de l'Internet peuvent consulter des serveurs web spécifiques afin d'accéder au contenu de l'Internet. Une saturation de DNS est un type d'attaque par déni de service distribué (DDoS) où un pirate submerge les serveurs DNS d'un domaine particulier pour tenter de perturber la résolution du DNS pour ce domaine. Si un utilisateur ne parvient pas à trouver le répertoire, il ne peut pas rechercher l'adresse pour appeler une ressource particulière. En perturbant la résolution du DNS, une attaque par saturation du DNS portera atteinte à la capacité d'un site web, d'une API ou d'une application web à répondre au trafic légitime. Les attaques par saturation du DNS peuvent être difficiles à distinguer du trafic lourd normal car le grand volume de trafic provient souvent d'une multitude d'endroits uniques, recherchant de vrais enregistrements sur le domaine, imitant le trafic légitime.

Comment fonctionne une attaque par saturation du DNS ?

DNS Flood DDoS Attack Diagram

La fonction du système de noms de domaine est de traduire des noms faciles à retenir (par exemple, exemple.com) en adresses difficiles à retenir de serveurs de sites web (par exemple, 192.168.0.1), de sorte qu'une attaque réussie de l'infrastructure DNS rend l'internet inutilisable pour la plupart des gens. Les attaques DNS flood constituent un type relativement nouveau d'attaque basée sur le DNS qui a proliféré avec l'essor des botnets à large bande passante de l'Internet des objets (IdO) comme Mirai. Les attaques par saturation du DNS utilisent les connexions à large bande passante des caméras IP, des DVR et d'autres dispositifs de l'IdO pour submerger directement les serveurs DNS des principaux fournisseurs. Le volume des requêtes provenant des dispositifs IdO submerge les services du fournisseur DNS et empêche les utilisateurs légitimes d'accéder aux serveurs DNS du fournisseur.

Les attaques par saturation du DNS diffèrent des attaques par amplification du DNS. Contrairement aux saturations de DNS, les attaques par amplification du DNS reflètent et amplifient le trafic provenant de serveurs DNS non sécurisés afin de dissimuler l'origine de l'attaque et d'accroître son efficacité. Les attaques par amplification du DNS utilisent des machines ayant une connexion à bande passante plus petite pour effectuer de nombreuses requêtes vers des serveurs DNS non sécurisés. Ces machines font de nombreuses petites requêtes pour des enregistrement DNS très volumineuses, mais en effectuant ces requêtes, le pirate falsifie l'adresse de retour pour qu'elle soit celle de la victime visée. L'amplification permet au pirate de s'attaquer à des cibles plus importantes avec des ressources d'attaque limitées.

Comment atténuer une attaque par saturation du DNS ?

Les saturation du DNS représentent un changement par rapport aux méthodes d'attaque traditionnelles basées sur l'amplification. Grâce à des botnets à large bande passante facilement accessibles, les pirates peuvent désormais cibler de grandes organisations. En attendant que les dispositifs IdO corrompus puissent être mis à jour ou remplacés, la seule façon de résister à ces types d'attaques est d'utiliser un système DNS très vaste et très distribué qui peut surveiller, absorber et bloquer le trafic d'attaque en temps réel. Découvrez comment la protection DDoS de Cloudflare protège contre les attaques par saturation du DNS.