Internet sous la menace d'une nouvelle forme d'attaques via les DNS

Par:
fredericmazue

jeu, 16/03/2006 - 00:00

L'US-CERT (United States Computer Emergency Readiness Team), publiait, mi-décembre 2005, un document intitulé La menace continue des dénis de service introduite par la récursivité DNS (The Continuing Denial of Service Threat Posed by DNS Recursion ).

Les chercheurs de l'US-CERT y notaient qu'ils avaient "été alertés d'une hausse d'attaques par saturation de service à partir de requêtes DNS récursives falsifiées". Des attaques préoccupantes dans la mesure où "tous les systèmes communiquant sur Internet doivent permettre le trafic DNS".

Lorsqu'un internaute saisit une adresse web dans son navigateur, le système commence par interroger un serveur de nom de domaine chargé de traduire l'adresse en clair (associer l'adresse www.programmez.com avec l'adresse IP du serveur hébergeant le site). Si le DNS ne trouve pas la correspondance entre l'adresse web et le numéro IP, il interroge un DNS lui faisant autorité et ainsi de suite jusqu'à obtention d'une réponse qui sera renvoyée à l'auteur initial de la requête.

Une requête falsifiée (spoofed) usurpe une adresse IP afin de cacher la localisation originale de la requête (et donc de l'attaque). Du coup, le DNS interrogé renvoit sa réponse à un ordinateur (la cible de l'attaquant) qui ne l'a de fait pas sollicité. Et, selon l'US-CERT, un attaquant peut envoyer des milliers de requêtes récursives falsifiées afin de "générer un raz-de-marée de réponse DNS" dont les flux pourraient atteindre plusieurs gigabits/s de transferts de données.

"Les attaques de DNS par récursivité sont essentiellement une amplification des attaques par déni de service", estime l'US-CERT. D'autant que ce type d'attaque se répercute sur le trafic général d'Internet affectant serveurs de nom racines, routeurs, backbone et autres composantes du réseaux.

L'Associated Press a rapporté, aujourd'hui, qu'une attaque de ce type s'est produite sur un DNS situé en Afrique du Sud.

Pour se protéger, l'US-CERT conseille de couper la fonction de récursivité des serveurs DNS ou de les restreindre aux seuls domaines dignes de confiance. Paradoxalement, interdire la récursivité des serveurs limiterait considérablement la communication en ligne (faute de pouvoir trouver les sites Web demandés).