examen d`une attaque par ddos contre l`infrastructure du dns

EXAMEN D’UNE ATTAQUE PAR DDOS CONTRE L’INFRASTRUCTURE DU DNS
Protégez votre entreprise
12-16-20161
EXAMEN D’UNE ATTAQUE PAR DDOS CONTRE
L’INFRASTRUCTURE DU DNS
Le système de noms de domaine (domain name system [DNS]) fait partie de
l’infrastructure fonctionnelle d’Internet et de son cadre de « confiance ». Sans ces
serveurs de noms, l’investissement massif en matériel, en logiciels et en applications
réalisé par les organisations ne permettrait pas à leurs clients de les joindre.
Malheureusement, puisque le DNS est un élément clé de l’infrastructure, des acteurs
malveillants le ciblent fréquemment. Les attaques par déni de service distribué
(distributed denial of service [DDoS]) sont un type d’attaques qui mettent en lumière
les vulnérabilités du système DNS. Le présent document explique ce type
d’attaque particulière.
Une attaque par DDoS vise à saboter le système sans mobiliser celui des attaquants.
Ces derniers évitent ainsi de se trouver démasqués. Bien que ce type d’attaque n’ait
pas pour but fondamental d’accéder aux données des organisations, des personnes
malveillantes peuvent y recourir pour priver le système ciblé de ressources ou le mettre
hors service. Qui plus est, en règle générale, les attaques par DDoS se sont multipliées
partout dans le monde depuis des années, et 2016 n’y a pas fait exception. L’une des
plus ambitieuses à ce jour a frappé les serveurs DNS de Dyn en octobre 2013 et fait
appel à des objets connectés (IoT) pour produire jusqu’à un To de trafic. Un bon tiers des
opérateurs de DNS (les entreprises et les organisations qui disposent de serveurs DNS)
ont fait état d’une attaque de ce type ayant une incidence sur la clientèle (source : Arbor
Networks 2016 report on Security). Du côté des prestataires de services, ce nombre
bondit à 50 %!
COMMENT LE SYSTÈME DE NOMS DE DOMAINE (DNS) FONCTIONNE-T-IL?
Le système de noms de domaine (domain name system
Le DNS est une base de données répartie organisée sous
[DNS]) fournit le réseau de base d’Internet en tenant lieu
forme d’arborescence de nœuds interconnectés (serveurs
de traducteur des adresses IP (192.228.29.1) en noms de
ou grappes de serveurs) dans laquelle chaque nœud est
site aisément lisibles (c.-à-d., www.acei.ca), et cela, au
une partition de la base de données. Les nœuds sont
moyen d’enregistrements de ressource. Il est essentiel
attribués à des autorités désignées, et un nœud ou un
au fonctionnement d’Internet, puisqu’il permet le recours
groupe de nœuds ne peut avoir plus d’une autorité.
à des noms logiques et lisibles plutôt qu’aux adresses
IPv4 ou IPv6 complexes. De plus, il assure la mise en
correspondance des serveurs de courriel et des serveurs
SIP, des redirections et des signatures numériques et
plus encore.
2
56 % Non
30 % Oui
14 % Ne sait pas
Un tiers des entreprises font état d’attaques par DDoS du serveur DNS (Source : Arbor Networks 2016 report on Security)
COMMENT UNE ATTAQUE PAR DDOS D’UN DNS SE DÉROULE T ELLE?
Une attaque par DDoS du DNS repose sur trois
effet, les serveurs des organisations hôtes peuvent ne
éléments : la mystification, la réflexion et l’amplification.
pas être directement impliqués dans la réaction pour
Puisque l’objectif de l’attaquant consiste à saturer
parer la menace. Par exemple, la réponse pourrait ne pas
un serveur de noms, ces volets de l’attaque sont
correspondre à un élément qu’il est tout simplement
généralement distribués à l’échelle de plusieurs
possible de filtrer au moyen des caractéristiques
résolveurs DNS ouverts au moyen de zombies. En
habituelles d’un pare-feu. Regardons-y d’un peu plus
recourant à la mystification, l’attaquant envoie un
près. Si l’attaquant souhaitait s’en prendre à un serveur
immense nombre de requêtes à des dizaines de milliers
DNS cible, alors il recourrait à tous les réseaux de
de serveurs DNS où l’adresse IP source est remplacée par
zombies dont il dispose de manière à transmettre des
celle de l’organisation cible. Ensuite, ces serveurs relaient
messages de requête au DNS pour produire un effet
l’attaque à partir de la source de la cible. L’amplification
d’amplification à partir de serveurs récursifs ouverts.
entre en jeu lorsque le serveur réflecteur répond à un
Si le serveur de noms récursif n’a pas reçu une requête
paquet de requêtes de taille relativement modeste par
avant, alors il transmet sa propre requête à un serveur
un message de réponse de bien plus grande envergure.
compromis pour produire l’effet d’amplification. Les
Dans le cas du DNS, le problème se complexifie parce
serveurs récursifs ouverts croient qu’ils envoient une
que le message de requête de taille très modeste (< 100
réponse au réseau de zombies qui a produit la requête,
octets) peut être amplifié (jusqu’à 50 fois et plus) pour
mais il a remplacé l’adresse IP source par celle de la
produire en réponse des milliers d’octets.
cible. Ainsi le serveur de l’organisation n’a jamais envoyé
Une telle attaque est différente des autres types
de requête, mais se trouve bombardé de réponses.
d’attaques par DDoS contre la couche application. En
Pour aggraver les choses, puisque la réponse est
amplifiée, elle est fragmentée et doit être réassemblée à
destination, ce qui pèse encore plus lourd sur la cible.
Serveur DNS cible
123.123.123.1
Réponse amplifiée
de 300 octets
Requête de 60 octets (dont
l’adresse a été mystifiée)
123.123.123.1
Milliers de serveurs
réflecteurs
Examen de l’attaque par DDoS d’un DNS illustrant la mystification, la
réflexion et l’amplification
3
semblables, vise à sécuriser les communications une
Selon l’exemple ci-dessous, nous voyons que sans
fois qu’elles ont été entreprises. Les registres des
DNSSEC, le serveur produit une réponse de 62 à 72
domaines de premier niveau ont tôt fait d’adopter le
octets. Avec les DNSSEC, la même requête donne lieu
protocole DNSSEC. En 2014, sa montée en popularité
à 241 octets (281 bytes on wire) à une question de 83
s’est emballée à l’échelle d’Internet alors que des
octets, ce qui représente un facteur d’amplification de
acteurs d’importance tels que Microsoft et Google ont
341 pour cent. Et selon la façon dont la requête est faite,
commencé à en promouvoir activement les avantages.
une amplification de plus d’envergure est possible :
Cependant, les DNSSEC ont le potentiel d’amplifier une
attaque par DDoS encore davantage, puisque les octets
supplémentaires requis pour transmettre les clés sont à
même d’augmenter l’amplification.
Sans DNSSEC
Avec DNSSEC
CONTRIBUER À ATTÉNUER LE PROBLÈME GRÂCE À UNE
INFRASTRUCTURE DNS ANYCAST
Plusieurs intervenants de l’industrie tentent de faire
types de tactiques constituent un élément important de
en sorte que les (dizaines de millions de) serveurs DNS
la solution, mais cela ne résout pas les problèmes par
récursifs ouverts soient éliminés en se concentrant sur
rapport au DNS. À son égard, le recours à la technologie
les réseaux où ils se trouvent et en les faisant fermer.
anycast constitue une tactique déployée avec succès par
Toutefois, il s’agit d’un problème mondial extrêmement
les registres de noms de domaine et plusieurs grandes
épineux dont la source est le comportement adopté par
organisations.
inadvertance tant par les gens que par les entreprises.
Vraisemblablement, la prolifération des objets connectés
Les serveurs DNS anycast permettent aux organisations
aggravera la situation encore davantage. Plutôt que
de déployer un ensemble de serveurs DNS à l’échelle
de tenter de résoudre ce problème, il existe pour les
mondiale, lesquels peuvent tous résoudre l’adresse.
services des TI une solution plus rapide et dynamique.
Puisque le fait que le serveur le plus rapproché sur le plan
géographique réponde à la requête constitue l’une des
En ce qui concerne les attaques par DDoS à la couche
caractéristiques d’un DNS anycast, les attaques dont un
application, les services des TI se concentrent sur leur
nœud fait l’objet ne toucheront que la clientèle régionale.
infrastructure de serveur, par exemple en limitant les
Maintenir deux nuages anycast ou davantage sur une
réponses aux paquets trop volumineux, en abandonnant
infrastructure et une connectivité de réseau différentes
totalement les réponses, en limitant le taux de trafic ou
procure une redondance régionale encore plus ciblée qui
en le bloquant entièrement de certains serveurs. Ces
contribue à atténuer l’incidence d’une attaque.
4
En plus d’éliminer ce risque, si une entreprise exerce
Même si un serveur DNS donné ne peut plus répondre
une part importante de ses activités sur le plan national,
aux requêtes, le temps que l’attaque passe à un nouveau
disposer quelques nœuds locaux à large bande passante
nœud, l’ancien peut être de retour en ligne. De fait, cela
peut contribuer à protéger votre trafic local contre une
devient une partie mondiale de colin-maillard sur des
attaque qui provient de l’étranger. Pourquoi? Parce que
serveurs DNS qui, de toute manière, ne procurent pas
l’attaque en question sera absorbée par le serveur situé
le contenu au sein de la région ou du marché le plus
à l’étranger le plus rapproché de celle-ci, ce qui laissera
important pour vous.
indemnes vos serveurs au pays.
DÉPLOYER UN RÉSEAU DNS ANYCAST POUR CONTRIBUER À ATTÉNUER
LES ATTAQUES PAR DDOS
Une entreprise internationale peut décider de gérer plusieurs
nuages anycast distincts, chacun servant un marché particulier.
Unicast
Anycast
Pour ce faire, nous recommandons de recourir à un ou à
plusieurs fournisseurs experts de solutions DNS offrant des
services qui aident les sociétés à cibler leur trafic DNS sur le
plan géographique. La résilience et la rapidité accrues de votre
réseau global constituent les autres avantages de recourir à des
fournisseurs redondants.
Autrement, si une organisation préfère disposer de son infrastructure DNS faisant autorité, elle peut construire et gérer
des centres de données organisationnels. Même selon ce scénario, faire appel à la gestion des sauvegardes par un
tiers au moyen d’anycast constitue une façon rentable de contribuer à protéger le réseau.
Enfin, la solution DNS peut être abordée à titre de réseau national ou de réseau mondial, ou elle peut être construite
en tant que série de réseaux concentrés au pays au sein des marchés les plus importants pour l’organisation afin de
contribuer à protéger chaque unité fonctionnelle en appliquant le degré adéquat d’atténuation des risques.
LE SERVICE DNS ANYCAST D-ZONE – AIDER LES SERVICES DES TI ET LES
PRESTATAIRES DE SERVICE QUI SOUTIENNENT LES ORGANISATIONS
DONT LE TRAFIC CANADIEN EST IMPORTANT À SE PROTÉGER CONTRE LES
ATTAQUES PAR DDOS.
Le DNS Anycast D-Zone constitue la solution secondaire
votre trafic des attaques par DDoS contre le DNS en
la plus robuste pour le trafic canadien à être offerte sur
disposant des nœuds à large bande mondiaux dans les
le marché actuellement. Il procure des nœuds à large
plaques tournantes internationales d’Internet. Puisque
bande redondants aux principaux IXP situés au Canada
peu d’attaques d’envergure proviennent du Canada, cela
afin de répondre aux requêtes pour le trafic canadien
contribue à la protection de votre organisation contre les
en assurant une très faible latence et en contribuant
pannes découlant d’activités malveillantes.
à garder le trafic Web canadien entre les frontières
canadiennes. En plus de ces avantages, il aide à protéger
5
APPRENEZ-EN DAVANTAGE
Pour obtenir plus d’information sur la façon dont une solution DNS Anycast D-Zone peut être utilisée par votre
organisation, communiquez avec nous aujourd’hui en visitant acei.ca/d-zone.
À PROPOS DE L’ACEI
L’Autorité canadienne pour les enregistrements Internet (ACEI) gère le registre des noms de domaine .CA du Canada à
titre de service disponible à 100 % pour la population et les organisations canadiennes. En plus d’assumer l’intendance
du .CA, l’ACEI élabore et met en œuvre des politiques qui appuient les internautes canadiens ainsi que le registre .CA
sur le plan international.
6