Sécurité

Les principaux types d’attaques DNS et comment les empêcher

Les services DNS sont essentiels pour naviguer sur le Web. Cependant, il est l’un des plus vulnérables aux attaques. Ce guide détaillera les attaques DNS les plus dangereuses et quelques actions qui permettront de protéger l’infrastructure réseau.

L’une des raisons pour lesquelles les services DNS sont susceptibles d’être attaqués est le protocole de couche de transport UDP. N’oubliez pas qu’il s’agit d’un protocole de transmission sans connexion . Ce dernier signifie qu’il n’est pas orienté connexion, le protocole UDP ne se soucie pas que les données atteignent complètement leur destination, il transmettra toujours tout ce qu’il a dans la file d’attente. Disons que les paquets de données ont de la chance, il se peut qu’ils atteignent leur destination avec succès ou subissent des inconvénients au milieu. Regardons le schéma suivant pour une meilleure compréhension :

  • La première moitié de l’image nous montre comment fonctionne un autre protocole populaire orienté connexion : TCP . Il n’accepte pas les paquets de données corrompus ou présentant un problème d’intégrité. Oui ou oui ils doivent être renvoyés pour qu’il atteigne sa destination à 100%.
  • L’autre moitié fait référence à UDP . Comme nous l’avons mentionné, il n’est pas orienté connexion. La destination recevra les paquets de données, qu’ils soient en difficulté ou non.

Pensez aux services de streaming. Ils arrêtent, à certains moments, puis reprennent la transmission. Soit l’image ressort un peu pixelisée, soit la fameuse «voix robotique» de l’orateur se fait entendre. Même si tout cela peut arriver, la transmission ne s’arrête pas d’elle-même. Bien sûr, il existe des exceptions telles que l’absence de connexion Internet ou la personne à court de batterie ou d’alimentation.

Nous vous recommandons de lire notre tutoriel sur TCP vs UDP, les caractéristiques et les utilisations des deux protocoles de la couche transport.

Les attaques DNS les plus puissantes

Empoisonnement du cache DNS

C’est l’une des attaques les plus courantes. L’objectif principal est de capturer les utilisateurs par des sites Web malveillants et malveillants. Comment est-il possible qu’un serveur DNS nous renvoie des sites suspects afin de voler nos données personnelles ? Ci-dessous, nous vous montrerons un schéma de fonctionnement et nous l’expliquerons étape par étape.

Imaginez que vous vouliez accéder à mail.google.com (Gmail), presque sans vous en rendre compte, un DNS empoisonné ( poisoned ) nous redirige vers un endroit un peu comme Gmail où nous demandons les données utilisateur et le mot de passe. Comme nous pouvons le voir, DNS Caché Poisoning est l’un des ponts les plus efficaces pour d’autres attaques bien connues telles que le phishing. Cette attaque nous montre qu’il est très facile de pouvoir violer les enregistrements DNS d’un serveur particulier pour rediriger les utilisateurs vers des sites Web auxquels ils ne souhaitent pas vraiment accéder.

Comment prévenir et atténuer cette attaque

Voici trois mesures pour aider à prévenir l’empoisonnement du cache DNS :

  • L’une des mesures essentielles consiste à configurer les serveurs DNS afin qu’ils fassent le moins confiance aux autres serveurs DNS lorsqu’ils interagissent les uns avec les autres. De cette façon, les cybercriminels auront moins de chances de modifier les enregistrements DNS et les configurations des serveurs qu’ils cibleraient.
  • D’autres actions de configuration sont : la restriction des requêtes récursives, le stockage des données associées uniquement au domaine demandé et la restriction des réponses aux requêtes aux informations uniquement du domaine demandé.
  • L’utilisation de l’outil DNSSEC dont le but est de fournir une authentification fiable des données DNS. Un des avantages de DNSSEC est qu’il est possible de limiter le nombre de requêtes DNS. En outre, il est possible d’empêcher d’autres attaques importantes telles que DDoS .

Attaques DNS basées sur les botnets

Gardez à l’esprit qu’avec un petit botnet, il existe de multiples possibilités d’attaques. Sans compter si vous en avez plusieurs et qu’à leur tour, chacun d’eux possède des milliers d’ordinateurs zombies . Fondamentalement, l’attaque basée sur ces réseaux d’ordinateurs connectés et infectés consiste à exécuter des DDoS.

Un seul botnet aurait une capacité suffisante pour rendre inutile un serveur DNS normal. Simplement, chaque zombie doit être «programmé» pour envoyer plusieurs demandes d’accès à une ressource Web reconnue par ce serveur DNS. Ensuite, ledit serveur sera saturé de tant de requêtes, il ne pourra plus y répondre et cessera donc de fonctionner.

Chez RedesZone, nous avons une liste extrêmement intéressante de cartes de menaces et de cyberattaques . Dans cet article, vous pouvez voir que certains d’entre eux illustrent le comportement des botnets lors de l’exécution d’une attaque. Les attaques basées sur les botnets peuvent être évitées en prenant quelques mesures qui, à long terme, permettront d’éviter une ou plusieurs éventualités :

  • Vérifiez si vos périphériques réseau présentent des vulnérabilités.
  • Avez-vous des appareils IoT sur votre réseau ? Vérifiez les paramètres de sécurité dès que possible.
  • Y a-t-il des menaces d’attaques DNS ? Il est indispensable de disposer de solutions de sécurité IDS/IPS pour s’identifier et agir en conséquence.

Attaques DNS Flood

L’objectif principal est de surcharger le serveur DNS afin qu’il ne puisse pas continuer à traiter les requêtes DNS car toutes les zones DNS en question influencent la finalité des enregistrements de ressources.

Comme on peut le voir sur le schéma ci-dessus, un attaquant crée un botnet avec de nombreux ordinateurs qui agissent comme des zombies, infectés bien sûr, dans le but clair d’attaquer le serveur DNS avec des milliers de requêtes. C’est probablement le cas le plus courant d’attaque DoS.

Ces types d’attaques sont généralement facilement contrôlables car la source provient généralement d’une seule adresse IP. Bien que la situation soit grandement compliquée s’il devient un DoS distribué, c’est-à-dire un DDoS.

Cache empoisonnement

Cette attaque est l’un des moyens les plus efficaces pour les utilisateurs d’être victimes d’ attaques de phishing . Eh bien, les utilisateurs, ayant la certitude d’accéder à un site Web légitime, accèdent en fait à celui qui a pour tâche de collecter toutes vos données. Surtout les identifiants d’accès et les coordonnées bancaires.

Supposons que vous souhaitiez accéder au site Internet de votre banque et que, sans trop y prêter attention, vous constatiez que vous avez effectivement accédé au site officiel. Apparemment, tout se ressemble et il n’y a rien à craindre. Cependant, vous entrez vos données d’accès et à un moment donné, vous vous rendez compte que quelque chose ne va pas.

Mais qu’est-ce que le cache dans DNS ? C’est un processus dans lequel un résolveur DNS est impliqué . Sa fonction est de stocker les réponses des requêtes DNS pendant une durée spécifiée. Cela permet de répondre beaucoup plus rapidement à toutes les requêtes DNS, sans passer par tout le processus de résolution de nom de domaine.

Malheureusement, un cybercriminel peut prendre le contrôle du résolveur DNS et modifier les réponses à toutes les requêtes DNS qu’il a stockées. Par exemple, si à l’origine le site www.example.com  est associé à l’IP 192.0.0.16, le cybercriminel peut modifier cette réponse en associant le domaine à une IP malveillante : 192.0.0.17. Voyons ci-dessous un schéma qui illustre ce que nous avons mentionné :

Par inadvertance, l’utilisateur accède à un site malveillant même s’il est entré dans un domaine légitime. En tant qu’administrateur de services Web, vous devez effectuer les opérations suivantes :

  • Restreindre les requêtes récursives (requêtes).
  • Stockez les enregistrements DNS uniquement associés aux noms de domaine.
  • Limitez les réponses aux requêtes DNS aux informations réellement associées au domaine.

DrDoS (attaque par déni de service distribué par réflexion)

C’est une autre preuve que les attaques DDoS peuvent atteindre de grandes échelles. Les serveurs faisant office de réflecteurs dans cette variante de DDoS pourraient appartenir à des réseaux différents. L’avantage pour l’attaquant est qu’il devient très difficile de retracer le schéma d’attaque.

Par conséquent, plusieurs réseaux peuvent participer à une attaque DrDoS . Si j’ai trois serveurs réfléchissants appartenant à trois réseaux différents, le cybercriminel pourrait prendre le contrôle de ces trois réseaux afin que tous les appareils connectés participent à l’attaque.

Passons cela au contexte DNS. S’il y a plusieurs appareils connectés à partir de différents réseaux et que tous ces réseaux ont à leur tour des serveurs réflecteurs, ces derniers ne seront pas affectés par le grand nombre de requêtes DNS qui les traversent. Précisément, cette fonctionnalité des réflecteurs les amène à rediriger directement ce grand nombre de requêtes vers le serveur DNS victime.

Le serveur concerné recevra autant de demandes illégitimes que légitimes. Lorsque sa capacité aura atteint sa limite, il commencera à supprimer des paquets, y compris ceux qui correspondent à des requêtes légitimes. Par conséquent, il cesse de répondre.

Comment prévenir et atténuer cette attaque

Bien qu’il soit très difficile d’atténuer un DRDoS, il existe des mesures de prévention qui, à long terme, vous protégeront contre ce type de situation. Surtout au niveau de l’organisation :

  • Assurez-vous que vos serveurs (y compris DNS) sont situés dans différents centres de données, ainsi qu’ils font partie de différents réseaux/sous-réseaux de l’organisation.
  • Les centres de données doivent également disposer de plusieurs voies d’accès alternatives en plus de la principale.
  • La chose la plus importante : que les centres de données et les réseaux/sous-réseaux qui sont liés n’aient pas de failles de sécurité d’aucun type de niveau d’impact.

Que faire pour éviter une attaque d’une telle ampleur ? Toutes les mesures de prévention suggérées jusqu’à présent s’appliquent. Cependant, si l’infrastructure réseau que vous gérez est importante, il convient de prendre en compte les éléments suivants :

  • Plusieurs serveurs doivent être situés dans plusieurs centres de données.
  • Les centres de données doivent appartenir à différents segments de réseau.
  • Assurez-vous que les centres de données ont plusieurs chemins.
  • Avoir peu ou pas de trous de sécurité.

Attaque de domaine fantôme

Les résolveurs DNS sont attaqués et l’utilisation des ressources est abusée pour essayer de résoudre précisément ces domaines fantômes. En réalité, peu importe combien de fois vous essayez, ils ne seront jamais résolus. Ce que les cybercriminels cherchent à obtenir, c’est que ces résolveurs attendent une réponse très longtemps, ce qui a pour conséquence des défaillances de performances des services DNS ou des performances plutôt dégradées.

Voici une liste de mesures que vous pouvez appliquer pour prévenir/atténuer ce type d’attaque :

  • Augmenter le nombre de clients récursifs
  • Restreindre les requêtes récursives pour chaque serveur, en plus de restreindre les requêtes ( requêtes ) par zone.

Attaque de sous-domaine aléatoire

Bien que ce ne soit pas l’une des attaques les plus populaires, il est assez difficile à identifier. Nous vous recommandons donc de faire attention. Il est assez similaire aux attaques DoS en raison de sa nature et de son schéma de fonctionnement. Cette attaque est réalisée en envoyant de nombreuses requêtes DNS vers un domaine actif. Cependant, ces requêtes malveillantes ne proviennent pas du domaine principal, mais plutôt des sous-domaines qui n’existent pas actuellement.

Il s’agit d’une attaque sur des sous-domaines, mais il parvient finalement à mener une attaque DoS intégrée qui provoque la panne du serveur DNS et ses recherches DNS. Puisqu’il reçoit trop de demandes et sature en essayant de résoudre le domaine principal.

Impact des attaques DNS

Les attaques DNS causent de gros dégâts aux différentes organisations qui en sont victimes. Les sommes d’argent qui sont le produit des pertes se chiffrent facilement en millions de dollars. Le plus inquiétant est que les attaques DNS ont tendance à être de plus en plus sophistiquées et spécifiques par rapport au modus operandi .

Les menaces de type initié sont à l’ordre du jour. Les organisations, bien qu’elles semblent moins sensibles aux attaques DNS, doivent protéger leur infrastructure des initiés à l’aide d’outils de Threat Intelligence, qui sont heureusement largement proposés. D’autre part, les outils de sécurité pour la gestion des services Web offrent également de nombreuses options.

Les attaques DNS, bien qu’elles existent depuis de nombreuses années, ne cessent de croître en termes de nombre d’événements qui se produisent chaque année. Bien que votre organisation ne soit probablement jamais victime d’une des attaques susmentionnées, la protection de votre infrastructure réseau n’est pas une option.

Articles Similaires

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba