Sécurité DNS

DNS n’a pas été conçu dans un objectif de sécurité et de nombreux types d’attaques ont été créés pour exploiter les vulnérabilités du système DNS.

Share facebook icon linkedin icon twitter icon email icon

Sécurité DNS

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Comprendre ce qu’est le DNSSEC et son fonctionnement
  • Se familiariser avec les attaques DNS les plus courantes
  • Différentier le DNSSEC et les autres solutions de sécurité DNS

Pourquoi la sécurité DNS est-elle importante ?

Les requêtes DNS standards, qui sont nécessaires pour presque tout le trafic web, créent des opportunités pour les exploits DNS, comme le détournement du DNS et les attaques en chemin (on-path). Ces attaques peuvent rediriger le trafic entrant d’un site web vers une copie falsifiée du site, collectant ainsi des informations utilisateur sensibles et exposant les entreprises à une responsabilité majeure. L'une des façons les plus connues de se protéger contre les menaces DNS est l’adoption du protocole DNSSEC.

Qu'est-ce que le DNSSEC ?

Comme de nombreux protocoles Internet, le système DNS n’a pas été conçu dans un souci de sécurité et contient plusieurs limites de conception. Ces limites, combinées aux avancées technologiques, ont permis aux pirates d’attaquer facilement une recherche DNS dans un but malveillant, par exemple envoyer un utilisateur vers un site web frauduleux qui peut distribuer un logiciel malveillant ou recueillir des informations personnelles. Le DNSSEC (DNS Security Extensions) est un protocole de sécurité créé pour atténuer ce problème. Le DNSSEC protège des attaques en signant numériquement les données pour contribuer à en assurer la validité. Afin d’assurer la sécurité d’une recherche, la signature doit intervenir à chaque niveau du processus de recherche DNS.

Comme de nombreux protocoles Internet, le système DNS n’a pas été conçu dans un souci de sécurité et contient plusieurs limites de conception. Ces limites, combinées aux avancées technologiques, ont permis aux pirates d’attaquer facilement une recherche DNS dans un but malveillant, par exemple envoyer un utilisateur vers un site web frauduleux qui peut distribuer un logiciel malveillant ou recueillir des informations personnelles.


Les extensions de sécurité DNS (DNSSEC) constituent un protocole de sécurité créé pour atténuer ce problème. Le DNSSEC protège contre les attaques en signant numériquement les données pour garantir leur validité. Afin de garantir une recherche sécurisée, la signature doit avoir lieu à tous les niveaux du processus de recherche DNS.


Ce processus de signature est similaire à quelqu'un qui signe un document juridique avec un stylo. Cette personne signe de sa main en utilisant une signature unique que personne d'autre ne peut reproduire. Un expert judiciaire peut parfaitement examiner cette signature et en vérifier l'authenticité. Ces signatures numériques garantissent que les données n'ont pas été falsifiées.


Le DNSSEC met en œuvre une politique de signature numérique hiérarchique sur toutes les couches DNS. Par exemple, dans le cas d'un site « google.com » un serveur DNS racine signerait une clé pour le serveur de noms .COM, et le serveur de noms .COM signerait ensuite une clé pour le site google.com serveur de noms faisant autorité.


Bien qu'une sécurité renforcée soit toujours à privilégier, le DNSSEC est conçu pour être rétrocompatible afin de garantir que les recherches DNS sont résolues correctement, mais sans sécurité ajoutée. La DNSSEC est destinée à fonctionner avec d'autres mesures de sécurité comme le SSL/TLS dans le cadre d'une stratégie globale de sécurité sur Internet.


Le DNSSEC crée un train de confiance parent-enfant qui va jusqu'à la zone racine. Cette chaîne de confiance ne peut être compromise au niveau d'aucune couche du DNS, sinon la requête sera ouverte à une attaque en chemin (on-path).


Pour fermer la chaîne de confiance, la zone racine elle-même doit être validée (s'il est prouvé qu'elle est exempte de falsification ou de fraude), et cela se fait en fait par une intervention humaine. De manière intéressante, au cours d'une cérémonie de signature de la zone racine (c'est ainsi qu'on l'appelle), des individus sélectionnés du monde entier se réunissent pour signer le DNSKEY RRset de la zone racine de manière publique et contrôlée.

Voici une explication plus détaillée du fonctionnement du DNSSEC > > >

Quelles sont les attaques courantes impliquant le DNS ?

Le DNSSEC est un protocole de sécurité puissant qui n'est malheureusement pas universellement adopté. En raison de cette adoption insuffisante couplée à d'autres vulnérabilités potentielles, notamment le fait que le DNS fait partie intégrante de la plupart des requêtes Internet, le DNS est une cible de choix pour les attaques malveillantes. Les auteurs de ces attaques ont trouvé un certain nombre de façons de cibler et d'exploiter les serveurs DNS. Nous vous présentons ici quelques-unes des attaques les plus courantes :

Usurpation du DNS/empoisonnement du cache : Il s'agit d'une attaque dans laquelle des données DNS falsifiées sont introduites dans le cache d'un résolveur DNS, ce qui a pour conséquence que le résolveur renvoie une adresse IP incorrecte pour un domaine. Plutôt que d’accéder au site web voulu, le trafic peut être dévié vers une machine malveillante ou vers tout autre site souhaité par le pirate ; il s’agit souvent d’une réplique du site d’origine utilisé à des fins malveillantes comme la distribution de logiciels malveillants ou la collecte d’informations de connexion.

DNS tunnelling : Cette attaque utilise d'autres protocoles pour passer par un tunnel DNS les requêtes et les réponses du DNS. Les attaquants peuvent utiliser SSH, TCP ou HTTP pour transmettre des logiciels malveillants ou des informations volées dans des requêtes DNS, sans être détectés par la plupart des pare-feu.

Détournement de DNS : Dans le cas d'un détournement de DNS, l'attaquant redirige les requêtes vers un autre serveur de noms de domaine. Il utilise pour cela un logiciel malveillant ou une modification non autorisée d’un serveur DNS. Bien que le résultat soit similaire à une usurpation de DNS, il s’agit d’une attaque fondamentalement différente, car elle cible l’enregistrement DNS du site web sur le serveur de noms plutôt qu'un cache de résolveur.

Détournement du DNS

Attaque NXDOMAIN : il s'agit d'un type d'attaque DNS Flood où un attaquant inonde un serveur DNS de requêtes, demandant des enregistrements qui n'existent pas, dans le but de provoquer un déni de service pour le trafic légitime. Pour cela, le pirate utilise des outils d’attaque sophistiqués qui peuvent générer automatiquement des sous-domaines uniques pour chaque requête. Les attaques NXDOMAIN peuvent également cibler un résolveur récursif dans le but de remplir le cache du résolveur de requêtes indésirables.

Attaque de domaine fantôme : une attaque de domaine fantôme a un résultat similaire à une attaque NXDOMAIN sur un résolveur DNS. Le pirate définit un ensemble de serveurs de domaines « fantômes » qui répondent très lentement aux requêtes, ou n’y répondent pas du tout. Le résolveur est ensuite assailli d’un flot de requêtes vers ces domaines et il reste bloqué dans l’attente de réponses, ce qui cause un ralentissement des performances et un déni de service.

Attaque de sous-domaine aléatoire : dans ce cas, le pirate envoie des requêtes DNS pour plusieurs sous-domaines aléatoires et inexistants d'un site légitime. L’objectif est de créer un déni de service pour le serveur de noms faisant autorité du domaine, ce qui rend toute recherche du site web impossible depuis le serveur de noms. En parallèle, le FAI qui dessert le pirate peut également être touché, car le cache de son résolveur récursif sera rempli de mauvaises requêtes.

Attaque de verrouillage de domaine : Les mauvais acteurs orchestrent cette forme d'attaque en mettant en place des domaines et des résolveurs spéciaux pour créer des connexions TCP avec d'autres résolveurs légitimes. Lorsque les résolveurs ciblés envoient des requêtes, ces domaines renvoient des flux de paquets aléatoires lents, qui immobilisent les ressources du résolveur.

Attaque CPE basée sur des bots : ces attaques sont menées à l'aide d'appareils CPE (Customer Premise Equipment, c'est-à-dire des équipements fournis par les fournisseurs de services pour être utilisés par leurs clients, tels que les modems, routeurs, boîtes de jonction, etc.) Les pirates compromettent les CPE et ces appareils font alors partie d’un botnet utilisé pour perpétrer des attaques de sous-domaines aléatoires contre un site ou un domaine.

Quelle est la meilleure protection contre les attaques basées sur le DNS ?

En complément du DNSSEC, un opérateur d'une zone DNS peut prendre des mesures pour sécuriser davantage ses serveurs. Le sur-approvisionnement des infrastructures est une stratégie simple pour surmonter les attaques DDoS. Pour faire simple, si votre serveur de noms peut traiter plusieurs fois plus de trafic que prévu, une attaque basée sur le volume aura plus de mal à submerger votre serveur.


Le routage Anycast est un autre outil pratique pour contrer les attaques DDoS. L'Anycast permet à plusieurs serveurs de partager une même adresse IP, de sorte que si un serveur est en panne, les autres serveurs fonctionnent et peuvent continuer de traiter les requêtes. Une autre stratégie courante pour sécuriser les serveurs DNS consiste à utiliser un pare-feu DNS.

Qu'est-ce qu'un pare-feu DNS ?

Un pare-feu DNS est un outil qui peut fournir plusieurs services de sécurité et de performance aux serveurs DNS. Un pare-feu DNS est érigé entre le résolveur récursif de l’utilisateur et le serveur de noms faisant autorité du site web ou du service qu'il essaie d'atteindre. Le pare-feu peut fournir des services de rate limiting pour bloquer les pirates qui tentent de submerger le serveur. Si le serveur subit un temps d'arrêt suite à une attaque ou pour toute autre raison, le pare-feu DNS peut maintenir le site ou le service de l’opérateur en utilisant les réponses DNS présentes dans le cache. En plus de ses fonctionnalités de sécurité, un pare-feu DNS peut également fournir à l’opérateur des solutions de performance, telles que des recherches DNS plus rapides et des coûts de bande passante réduits pour l'opérateur DNS. En savoir davantage sur le pare-feu DNS de Cloudflare.

Un pare-feu DNS est un outil qui peut fournir plusieurs services de sécurité et de performance aux serveurs DNS. Un pare-feu DNS est érigé entre le résolveur récursif de l’utilisateur et le serveur de noms faisant autorité du site web ou du service qu'il essaie d'atteindre. Le pare-feu peut fournir des services de rate limiting pour bloquer les pirates qui tentent de submerger le serveur.


Si le serveur subit un temps d'arrêt suite à une attaque ou pour toute autre raison, le pare-feu DNS peut maintenir le site ou le service de l’opérateur en utilisant les réponses DNS présentes dans le cache. En plus de ses fonctionnalités de sécurité, un pare-feu DNS peut également fournir à l’opérateur des solutions de performance, telles que des recherches DNS plus rapides et des coûts de bande passante réduits pour l'opérateur DNS. En savoir plus sur le pare-feu DNS de Cloudflare.

DNS comme outil de sécurité

Les résolveurs DNS peuvent également être configurés pour fournir des solutions de sécurité à leurs utilisateurs finaux (les internautes). Certains résolveurs DNS offrent des fonctionnalités telles que le filtrage de contenu, ce qui peut bloquer des sites connus pour distribuer des logiciels malveillants et du spam, et la protection contre les botnets, ce qui bloque les communications avec les botnets connus. De nombreux résolveurs DNS sécurisés sont gratuits et un utilisateur peut activer l’un de ces services DNS récursifs en modifiant un simple paramètre de son routeur local. Le DNS Cloudflare met l'accent sur la sécurité.