Sécurité DNS

DNS n’a pas été conçu dans un objectif de sécurité et de nombreux types d’attaques ont été créés pour exploiter les vulnérabilités du système DNS.

Share facebook icon linkedin icon twitter icon email icon

Sécurité DNS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre ce qu’est le DNSSEC et son fonctionnement
  • Se familiariser avec les attaques DNS les plus courantes
  • Différentier le DNSSEC et les autres solutions de sécurité DNS

Pourquoi la sécurité DNS est-elle importante ?

Les requêtes DNS standard, qui sont requises pour presque tout le trafic web, créent des opportunités pour les exploits DNS tels que le piratage du DNS et les attaques de l'homme du milieu (man-in-the-middle). Ces attaques peuvent rediriger le trafic entrant d'un site web vers un faux site web en collectant des informations sensibles sur les utilisateurs et en exposant les entreprises à une responsabilité majeure. L'un des moyens les plus connus de se protéger contre les menaces DNS est d'adopter le protocole DNSSEC.

Qu'est-ce que le DNSSEC ?

Comme de nombreux protocoles Internet, le système DNS n'a pas été conçu dans un souci de sécurité et contient un certain nombre de limitations dues à sa conception. Ces limitations, les progrès technologiques aidant, ont permis à des pirates informatiques de détourner facilement une recherche DNS à des fins malveillantes, comme l'envoi d'un utilisateur vers un site web frauduleux qui peut distribuer un logiciel malveillant ou collecter des informations personnelles. Les extensions de sécurité DNS (DNSSEC) constituent un protocole de sécurité créé pour atténuer ce problème. le DNSSEC protège contre les attaques en signant numériquement les données pour garantir leur validité. Afin de garantir une recherche sécurisée, la signature doit intervenir à tous les niveaux du processus de recherche DNS.

Comme de nombreux protocoles Internet, le système DNS n'a pas été conçu dans un souci de sécurité et contient un certain nombre de limitations dues à sa conception. Ces limitations, les progrès technologiques aidant, ont permis à des cyberattaquants de détourner facilement une recherche DNS à des fins malveillantes, comme l'envoi d'un utilisateur vers un site web frauduleux qui peut distribuer un logiciel malveillant ou collecter des informations personnelles.


Les extensions de sécurité DNS (DNSSEC) constituent un protocole de sécurité créé pour atténuer ce problème. Le DNSSEC protège contre les attaques en signant numériquement les données pour garantir leur validité. Afin de garantir une recherche sécurisée, la signature doit avoir lieu à tous les niveaux du processus de recherche DNS.


Ce processus de signature est similaire à quelqu'un qui signe un document juridique avec un stylo. Cette personne signe de sa main en utilisant une signature unique que personne d'autre ne peut reproduire. Un expert judiciaire peut parfaitement examiner cette signature et en vérifier l'authenticité. Ces signatures numériques garantissent que les données n'ont pas été falsifiées.


Le DNSSEC implémente une politique de signature numérique hiérarchique sur toutes les couches du DNS. Par exemple, dans le cas d'une recherche google.com, un serveur DNS racine signera une clé pour le nom du serveur .COM et le nom du serveur .COM signera alors une clé pour le nom du serveur faisant autorité de google.com.


Bien qu'une sécurité améliorée soit toujours préférable, le DNSSEC est conçu pour être rétrocompatible afin de pour garantir que les recherches DNS traditionnelles se résolvent toujours correctement, mais sans la sécurité supplémentaire. Le DNSSEC est censé fonctionner avec d'autres mesures de sécurité comme SSL/TLS dans le cadre d'une stratégie de sécurité Internet holistique.


Le DNSSEC crée une chaîne de confiance parent-enfant qui remonte jusqu'à la zone racine. Cette chaîne de confiance ne peut être compromise au niveau d'une couche du DNS, sinon la requête serait ouverte à une attaque de l'homme du milieu.


Pour fermer la chaîne de confiance, la zone racine elle-même doit être validée (s'il est prouvé qu'elle est exempte de falsification ou de fraude), et cela se fait en fait par une intervention humaine. De manière intéressante, au cours d'une cérémonie de signature de la zone racine (c'est ainsi qu'on l'appelle) des individus sélectionnés du monde entier se réunissent pour signer le DNSKEY RRset de la zone racine de manière publique et contrôlée.

Voici une explication plus détaillée du fonctionnement de DNSSEC > > >

Quelles sont les attaques courantes impliquant le DNS ?

Le DNSSEC est un protocole de sécurité puissant qui n'est malheureusement pas universellement adopté. En raison de cette adoption insuffisante couplée à d'autres vulnérabilités potentielles, notamment le fait que le DNS fait partie intégrante de la plupart des requêtes Internet, le DNS est une cible de choix pour les attaques malveillantes. Les auteurs de ces attaques ont trouvé un certain nombre de façons de cibler et d'exploiter les serveurs DNS, nous vous présentons ici quelques-unes des attaques les plus courantes :

Usurpation de DNS/empoisonnement du cache DNS : il s'agit d'une attaque dans laquelle des données DNS falsifiées sont introduites dans le cache d'un résolveur DNS. De ce fait le résolveur renvoie une adresse IP incorrecte pour un domaine. Au lieu d'aller au bon site web, le trafic peut être détourné vers une machine malveillante ou tout autre endroit, au gré de l'attaquant. Il s'agit souvent d'une réplique du site d'origine utilisé à des fins malveillantes, telles que la distribution de logiciels malveillants (malware) ou la collecte d'informations de connexion.

DNS tunnelling : cette attaque utilise d'autres protocoles pour encapsuler des données dans des requêtes et réponses DNS. Les attaquants peuvent utiliser SSH, TCP ou HTTP pour transmettre des logiciels malveillants ou des informations volées dans des requêtes DNS, sans être détectés par la plupart des pare-feu.

DNS hijacking : dans le DNS hijacking ou redirection DNS, l'attaquant redirige les requêtes vers un autre serveur de noms de domaine. Cela peut se faire soit à l'aide de logiciels malveillants, soit en modifiant de manière non autorisée un serveur DNS. Bien que le résultat soit similaire à celui de l'usurpation de DNS, il s'agit d'une attaque fondamentalement différente, car elle cible l'enregistrement DNS du site web sur le serveur de noms, plutôt que le cache d'un résolveur.

DNS Hijacking

Attaque NXDOMAIN : il s'agit d'un type d'attaque DNS flood où un attaquant inonde un serveur DNS de requêtes, demandant des enregistrements qui n'existent pas, dans le but de provoquer un déni de service pour le trafic légitime. Cela peut être accompli en utilisant des outils d'attaque sophistiqués qui peuvent générer automatiquement des sous-domaines uniques pour chaque demande. Les attaques NXDOMAIN peuvent également cibler un résolveur récursif dans le but de remplir le cache du résolveur avec des requêtes indésirables.

Attaque domaines fantômes : une attaque domaines fantômes (phantom ou ghost domain) a un résultat similaire à une attaque NXDOMAIN sur un résolveur DNS. L'attaquant met en place un groupe de serveurs de domaines « fantômes » qui répondent aux demandes très lentement ou ne répondent pas du tout. Le résolveur est alors assailli par un flot de requêtes vers ces domaines et se retrouve bloqué en attente de réponses, ce qui entraîne un ralentissement des performances et un déni de service.

Attaque de sous-domaines aléatoires : dans ce type d'attaque, l'attaquant envoie des requêtes DNS pour plusieurs sous-domaines aléatoires et inexistants d'un site légitime. L'objectif est de créer un déni de service pour le serveur de noms faisant autorité du domaine, ce qui rend impossible la recherche du site web à partir du serveur de noms. À titre d'effet secondaire, le FAI servant l'attaque peut également être affecté, car le cache de son résolveur récursif sera chargé avec de mauvaises requêtes.

Attaque de blocage de domaine : de mauvais acteurs orchestrent cette forme d'attaque en configurant des domaines spéciaux et des résolveurs pour créer des connexions TCP avec d'autres résolveurs légitimes. Lorsque les résolveurs ciblés envoient des demandes, ces domaines renvoient des flux lents de paquets aléatoires, bloquant les ressources du résolveur.

Attaque CPE basée sur un botnet : ces attaques sont exécutées à l'aide d'appareils CPE (équipement du client sur site, c'est-à-dire du matériel fourni par les fournisseurs de services à l'usage de leurs clients, tels que modems, routeurs, boîtes de jonction, etc.). Les attaquants compromettent les CPE et les appareils sont enrôlés dans un botnet, qui est utilisé pour effectuer des attaques aléatoires de sous-domaines contre un site ou un domaine.

Quelle est la meilleure protection contre les attaques basées sur le DNS ?

En plus du DNSSEC, un opérateur d'une zone DNS peut prendre d'autres mesures pour sécuriser ses serveurs. Le fait de sur-approvisionner l'infrastructure est une stratégie simple pour surmonter les attaques DDoS. Autrement dit, si votre serveur de noms peut gérer plusieurs fois plus de trafic que celui auquel vous vous attendez, il sera plus difficile pour une attaque massive de submerger votre serveur.


Le routage Anycast est un autre outil pratique qui peut contrecarrer les attaques DDoS. L'Anycast permet à plusieurs serveurs de partager une seule adresse IP, donc même si un serveur DNS est arrêté, il y en aura toujours d'autres en service. Une autre stratégie populaire pour sécuriser les serveurs DNS est un pare-feu DNS.

Qu'est-ce qu'un pare-feu DNS ?

Un pare-feu DNS est un outil qui peut fournir un certain nombre de services de sécurité et de performance pour les serveurs DNS. Un pare-feu DNS est placé entre le résolveur récursif des utilisateurs et le serveur de noms faisant autorité du site web ou du service qu'ils tentent d'atteindre. Le pare-feu peut fournir des services de rate limiting pour arrêter les attaquants qui tentent de submerger le serveur. Si le serveur subit un temps d'arrêt à la suite d'une attaque ou pour toute autre raison, le pare-feu DNS peut maintenir le site ou le service de l'opérateur en service en répondant aux réponses DNS à partir du cache. Outre ses fonctions de sécurité, un pare-feu DNS peut également fournir des solutions de performance telles que des recherches DNS plus rapides et des coûts de bande passante réduits pour l'opérateur DNS. En savoir plus sur le pare-feu DNS de Cloudflare.

Un pare-feu DNS est un outil qui peut fournir un certain nombre de services de sécurité et de performances pour les serveurs DNS. Un pare-feu DNS se situe entre le résolveur récursif d'un utilisateur et le serveur de noms faisant autorité du site web ou du service qu'ils essaient d'atteindre. Le pare-feu peut fournir des services de rate limiting pour arrêter les attaquants qui tentent de submerger le serveur.


Si le serveur subit un temps d'arrêt à la suite d'une attaque ou pour toute autre raison, le pare-feu DNS peut maintenir le site ou le service de l'opérateur en service en desservant des réponses DNS à partir du cache. En plus de ses fonctionnalités de sécurité, un pare-feu DNS peut également fournir des solutions de performance telles que des recherches DNS plus rapides et des coûts de bande passante réduits pour l'opérateur DNS. En savoir plus sur le pare-feu DNS de Cloudflare.

DNS comme outil de sécurité

Les résolveurs DNS peuvent également être configurés pour fournir des solutions de sécurité à leurs utilisateurs finaux (personnes naviguant sur Internet). Certains résolveurs DNS offrent des fonctionnalités telles que le filtrage de contenu, qui peut bloquer les sites connus pour distribuer des logiciels malveillants et du spam, et la protection contre les botnets, qui bloque la communication avec les botnets connus. La plupart de ces résolveurs DNS sécurisés sont gratuits et un utilisateur peut basculer vers l'un de ces services DNS récursifs en modifiant un seul paramètre dans son routeur local. Cloudflare DNS met l'accent sur la sécurité.