Qu'est-ce que le flux rapide DNS ?

Le fast-fluxing DNS est un moyen de permuter rapidement les adresses IP associées à un domaine, de sorte que les domaines malveillants utilisés pour les attaques de phishing et autres activités criminelles sont plus difficiles à bloquer.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Découvrez ce qu'est le fast-fluxing DNS et pourquoi les attaquants l'utilisent.
  • Comprendre le fonctionnement du flux rapide DNS
  • Découvrez comment éviter le fast-flux DNS

Contenu associé


Vous souhaitez continuer à enrichir vos connaissances ?

Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !

Consultez la politique de confidentialité de Cloudflare pour en savoir plus sur la manière dont nous collectons et traitons vos données personnelles.

Copier le lien de l'article

Qu'est-ce que le flux rapide DNS ?

Le fast fluxing DNS est une technique qui consiste à associer plusieurs adresses IP à un seul nom de domaine et à changer rapidement ces adresses IP. Parfois, des centaines, voire des milliers d'adresses IP sont utilisées. Les attaquants utilisent le fast-fluxing DNS pour maintenir leurs propriétés web en état de fonctionnement, cacher la véritable origine de leur activité malveillante et empêcher les équipes de sécurité de bloquer leur adresse IP. Cette technique est couramment utilisée par les botnets.

Les attaquants ont besoin que leurs sites Web restent actifs pour mener des attaques de phishing ( ), héberger des logiciels malveillants ( ), vendre des informations de carte de crédit volées et mener d'autres activités illégales. Avec le fast-flux DNS, les domaines malveillants ont plus de temps de fonctionnement et sont plus difficiles à bloquer, ce qui permet aux cybercriminels de mener davantage d'attaques. En fait, le fast-flux DNS transforme les domaines malveillants en une cible mobile.

Pensez à un braqueur de banque qui s'enfuit : si la police sait quelle voiture le braqueur conduit, elle peut être en alerte pour les voitures portant ce numéro de plaque d'immatriculation et les arrêter avant qu'elles ne quittent la ville. Imaginez maintenant que le voleur de banque ait un coffre rempli de plaques d'immatriculation, qu'il sorte et change de plaque tous les deux kilomètres. Il devient beaucoup plus difficile pour la police d'identifier la voiture du voleur de banque. Le fast-flux DNS a un effet similaire : l'adresse IP d'un site Web changeant constamment, il est beaucoup plus difficile d'identifier et de bloquer ce site.

Comment fonctionne le fast-flux DNS ?

Les attaquants associeront plusieurs adresses IP à un nom de domaine en modifiant rapidement les enregistrements DNS associés à ce nom de domaine. Une adresse IP sera enregistrée, puis désenregistrée et remplacée par une nouvelle adresse IP toutes les quelques minutes ou secondes. Les attaquants y parviennent en exploitant une technique de load Balancing appelée round robin DNS, et en fixant un time To Live (TTL) (ou temps de vie) très court pour chaque adresse IP. Souvent, tout ou partie des adresses IP utilisées seront des hôtes web que les attaquants ont compromis. Les machines situées à ces adresses IP agiront comme des proxies pour le serveur d'origine de l'attaquant.

Le DNS round robin est un moyen d'associer plusieurs serveurs web redondants, chacun avec sa propre adresse IP, à un domaine. Lorsque le serveur de noms faisant autorité pour ce domaine reçoit une requête, il distribue une adresse IP différente à chaque fois, de sorte qu'aucun serveur Web n'est submergé par le trafic (en théorie). Bien que l'équilibrage de charge soit l'utilisation légitime et prévue du DNS round robin, les attaquants peuvent utiliser cette fonction pour masquer leur activité malveillante.

Les attaquants utilisant un flux rapide définiront également un TTL très court pour ces adresses IP, parfois aussi court que 60 secondes. Une fois le TTL expiré, cette adresse IP ne sera plus associée à ce nom de domaine.

Qu'est-ce que le double flux rapide ?

Le double fast-flux ajoute une autre couche de flux DNS, ce qui rend encore plus difficile le blocage d'un domaine et la recherche de l'origine d'une activité malveillante. Avec le double fast fluxing, l'adresse IP du serveur de noms faisant autorité est également modifiée rapidement. (Une façon plus technique de le dire est que les enregistrements A du DNS pour le domaine et les enregistrements NS du DNS pour la zone sont changés en permanence).

Ce serait comme si le braqueur de banque décrit ci-dessus changeait non seulement continuellement de plaque d'immatriculation, mais aussi continuellement de voiture.

Comment éviter le flux rapide de DNS ?

Le moyen le plus efficace d'arrêter le fast-fluxing du DNS est de retirer tout simplement le nom de domaine. Pour diverses raisons, les bureaux d'enregistrement de noms de domaine ne sont pas toujours disposés à le faire ou en mesure de le faire.

Les administrateurs réseau peuvent également exiger des utilisateurs de leur réseau qu'ils utilisent les serveurs DNS qu'ils contrôlent, et qu'ils fassent en sorte que les requêtes de domaines malveillants soient rejetées. De cette façon, les domaines malveillants ne sont pas résolus et les utilisateurs ne peuvent pas y accéder. Cette technique est appelée Filtrage DNS.