examen d`une attaque par ddos contre l`infrastructure du dns
Transcription
examen d`une attaque par ddos contre l`infrastructure du dns
EXAMEN D’UNE ATTAQUE PAR DDOS CONTRE L’INFRASTRUCTURE DU DNS Protégez votre entreprise 12-16-20161 EXAMEN D’UNE ATTAQUE PAR DDOS CONTRE L’INFRASTRUCTURE DU DNS Le système de noms de domaine (domain name system [DNS]) fait partie de l’infrastructure fonctionnelle d’Internet et de son cadre de « confiance ». Sans ces serveurs de noms, l’investissement massif en matériel, en logiciels et en applications réalisé par les organisations ne permettrait pas à leurs clients de les joindre. Malheureusement, puisque le DNS est un élément clé de l’infrastructure, des acteurs malveillants le ciblent fréquemment. Les attaques par déni de service distribué (distributed denial of service [DDoS]) sont un type d’attaques qui mettent en lumière les vulnérabilités du système DNS. Le présent document explique ce type d’attaque particulière. Une attaque par DDoS vise à saboter le système sans mobiliser celui des attaquants. Ces derniers évitent ainsi de se trouver démasqués. Bien que ce type d’attaque n’ait pas pour but fondamental d’accéder aux données des organisations, des personnes malveillantes peuvent y recourir pour priver le système ciblé de ressources ou le mettre hors service. Qui plus est, en règle générale, les attaques par DDoS se sont multipliées partout dans le monde depuis des années, et 2016 n’y a pas fait exception. L’une des plus ambitieuses à ce jour a frappé les serveurs DNS de Dyn en octobre 2013 et fait appel à des objets connectés (IoT) pour produire jusqu’à un To de trafic. Un bon tiers des opérateurs de DNS (les entreprises et les organisations qui disposent de serveurs DNS) ont fait état d’une attaque de ce type ayant une incidence sur la clientèle (source : Arbor Networks 2016 report on Security). Du côté des prestataires de services, ce nombre bondit à 50 %! COMMENT LE SYSTÈME DE NOMS DE DOMAINE (DNS) FONCTIONNE-T-IL? Le système de noms de domaine (domain name system Le DNS est une base de données répartie organisée sous [DNS]) fournit le réseau de base d’Internet en tenant lieu forme d’arborescence de nœuds interconnectés (serveurs de traducteur des adresses IP (192.228.29.1) en noms de ou grappes de serveurs) dans laquelle chaque nœud est site aisément lisibles (c.-à-d., www.acei.ca), et cela, au une partition de la base de données. Les nœuds sont moyen d’enregistrements de ressource. Il est essentiel attribués à des autorités désignées, et un nœud ou un au fonctionnement d’Internet, puisqu’il permet le recours groupe de nœuds ne peut avoir plus d’une autorité. à des noms logiques et lisibles plutôt qu’aux adresses IPv4 ou IPv6 complexes. De plus, il assure la mise en correspondance des serveurs de courriel et des serveurs SIP, des redirections et des signatures numériques et plus encore. 2 56 % Non 30 % Oui 14 % Ne sait pas Un tiers des entreprises font état d’attaques par DDoS du serveur DNS (Source : Arbor Networks 2016 report on Security) COMMENT UNE ATTAQUE PAR DDOS D’UN DNS SE DÉROULE T ELLE? Une attaque par DDoS du DNS repose sur trois effet, les serveurs des organisations hôtes peuvent ne éléments : la mystification, la réflexion et l’amplification. pas être directement impliqués dans la réaction pour Puisque l’objectif de l’attaquant consiste à saturer parer la menace. Par exemple, la réponse pourrait ne pas un serveur de noms, ces volets de l’attaque sont correspondre à un élément qu’il est tout simplement généralement distribués à l’échelle de plusieurs possible de filtrer au moyen des caractéristiques résolveurs DNS ouverts au moyen de zombies. En habituelles d’un pare-feu. Regardons-y d’un peu plus recourant à la mystification, l’attaquant envoie un près. Si l’attaquant souhaitait s’en prendre à un serveur immense nombre de requêtes à des dizaines de milliers DNS cible, alors il recourrait à tous les réseaux de de serveurs DNS où l’adresse IP source est remplacée par zombies dont il dispose de manière à transmettre des celle de l’organisation cible. Ensuite, ces serveurs relaient messages de requête au DNS pour produire un effet l’attaque à partir de la source de la cible. L’amplification d’amplification à partir de serveurs récursifs ouverts. entre en jeu lorsque le serveur réflecteur répond à un Si le serveur de noms récursif n’a pas reçu une requête paquet de requêtes de taille relativement modeste par avant, alors il transmet sa propre requête à un serveur un message de réponse de bien plus grande envergure. compromis pour produire l’effet d’amplification. Les Dans le cas du DNS, le problème se complexifie parce serveurs récursifs ouverts croient qu’ils envoient une que le message de requête de taille très modeste (< 100 réponse au réseau de zombies qui a produit la requête, octets) peut être amplifié (jusqu’à 50 fois et plus) pour mais il a remplacé l’adresse IP source par celle de la produire en réponse des milliers d’octets. cible. Ainsi le serveur de l’organisation n’a jamais envoyé Une telle attaque est différente des autres types de requête, mais se trouve bombardé de réponses. d’attaques par DDoS contre la couche application. En Pour aggraver les choses, puisque la réponse est amplifiée, elle est fragmentée et doit être réassemblée à destination, ce qui pèse encore plus lourd sur la cible. Serveur DNS cible 123.123.123.1 Réponse amplifiée de 300 octets Requête de 60 octets (dont l’adresse a été mystifiée) 123.123.123.1 Milliers de serveurs réflecteurs Examen de l’attaque par DDoS d’un DNS illustrant la mystification, la réflexion et l’amplification 3 semblables, vise à sécuriser les communications une Selon l’exemple ci-dessous, nous voyons que sans fois qu’elles ont été entreprises. Les registres des DNSSEC, le serveur produit une réponse de 62 à 72 domaines de premier niveau ont tôt fait d’adopter le octets. Avec les DNSSEC, la même requête donne lieu protocole DNSSEC. En 2014, sa montée en popularité à 241 octets (281 bytes on wire) à une question de 83 s’est emballée à l’échelle d’Internet alors que des octets, ce qui représente un facteur d’amplification de acteurs d’importance tels que Microsoft et Google ont 341 pour cent. Et selon la façon dont la requête est faite, commencé à en promouvoir activement les avantages. une amplification de plus d’envergure est possible : Cependant, les DNSSEC ont le potentiel d’amplifier une attaque par DDoS encore davantage, puisque les octets supplémentaires requis pour transmettre les clés sont à même d’augmenter l’amplification. Sans DNSSEC Avec DNSSEC CONTRIBUER À ATTÉNUER LE PROBLÈME GRÂCE À UNE INFRASTRUCTURE DNS ANYCAST Plusieurs intervenants de l’industrie tentent de faire types de tactiques constituent un élément important de en sorte que les (dizaines de millions de) serveurs DNS la solution, mais cela ne résout pas les problèmes par récursifs ouverts soient éliminés en se concentrant sur rapport au DNS. À son égard, le recours à la technologie les réseaux où ils se trouvent et en les faisant fermer. anycast constitue une tactique déployée avec succès par Toutefois, il s’agit d’un problème mondial extrêmement les registres de noms de domaine et plusieurs grandes épineux dont la source est le comportement adopté par organisations. inadvertance tant par les gens que par les entreprises. Vraisemblablement, la prolifération des objets connectés Les serveurs DNS anycast permettent aux organisations aggravera la situation encore davantage. Plutôt que de déployer un ensemble de serveurs DNS à l’échelle de tenter de résoudre ce problème, il existe pour les mondiale, lesquels peuvent tous résoudre l’adresse. services des TI une solution plus rapide et dynamique. Puisque le fait que le serveur le plus rapproché sur le plan géographique réponde à la requête constitue l’une des En ce qui concerne les attaques par DDoS à la couche caractéristiques d’un DNS anycast, les attaques dont un application, les services des TI se concentrent sur leur nœud fait l’objet ne toucheront que la clientèle régionale. infrastructure de serveur, par exemple en limitant les Maintenir deux nuages anycast ou davantage sur une réponses aux paquets trop volumineux, en abandonnant infrastructure et une connectivité de réseau différentes totalement les réponses, en limitant le taux de trafic ou procure une redondance régionale encore plus ciblée qui en le bloquant entièrement de certains serveurs. Ces contribue à atténuer l’incidence d’une attaque. 4 En plus d’éliminer ce risque, si une entreprise exerce Même si un serveur DNS donné ne peut plus répondre une part importante de ses activités sur le plan national, aux requêtes, le temps que l’attaque passe à un nouveau disposer quelques nœuds locaux à large bande passante nœud, l’ancien peut être de retour en ligne. De fait, cela peut contribuer à protéger votre trafic local contre une devient une partie mondiale de colin-maillard sur des attaque qui provient de l’étranger. Pourquoi? Parce que serveurs DNS qui, de toute manière, ne procurent pas l’attaque en question sera absorbée par le serveur situé le contenu au sein de la région ou du marché le plus à l’étranger le plus rapproché de celle-ci, ce qui laissera important pour vous. indemnes vos serveurs au pays. DÉPLOYER UN RÉSEAU DNS ANYCAST POUR CONTRIBUER À ATTÉNUER LES ATTAQUES PAR DDOS Une entreprise internationale peut décider de gérer plusieurs nuages anycast distincts, chacun servant un marché particulier. Unicast Anycast Pour ce faire, nous recommandons de recourir à un ou à plusieurs fournisseurs experts de solutions DNS offrant des services qui aident les sociétés à cibler leur trafic DNS sur le plan géographique. La résilience et la rapidité accrues de votre réseau global constituent les autres avantages de recourir à des fournisseurs redondants. Autrement, si une organisation préfère disposer de son infrastructure DNS faisant autorité, elle peut construire et gérer des centres de données organisationnels. Même selon ce scénario, faire appel à la gestion des sauvegardes par un tiers au moyen d’anycast constitue une façon rentable de contribuer à protéger le réseau. Enfin, la solution DNS peut être abordée à titre de réseau national ou de réseau mondial, ou elle peut être construite en tant que série de réseaux concentrés au pays au sein des marchés les plus importants pour l’organisation afin de contribuer à protéger chaque unité fonctionnelle en appliquant le degré adéquat d’atténuation des risques. LE SERVICE DNS ANYCAST D-ZONE – AIDER LES SERVICES DES TI ET LES PRESTATAIRES DE SERVICE QUI SOUTIENNENT LES ORGANISATIONS DONT LE TRAFIC CANADIEN EST IMPORTANT À SE PROTÉGER CONTRE LES ATTAQUES PAR DDOS. Le DNS Anycast D-Zone constitue la solution secondaire votre trafic des attaques par DDoS contre le DNS en la plus robuste pour le trafic canadien à être offerte sur disposant des nœuds à large bande mondiaux dans les le marché actuellement. Il procure des nœuds à large plaques tournantes internationales d’Internet. Puisque bande redondants aux principaux IXP situés au Canada peu d’attaques d’envergure proviennent du Canada, cela afin de répondre aux requêtes pour le trafic canadien contribue à la protection de votre organisation contre les en assurant une très faible latence et en contribuant pannes découlant d’activités malveillantes. à garder le trafic Web canadien entre les frontières canadiennes. En plus de ces avantages, il aide à protéger 5 APPRENEZ-EN DAVANTAGE Pour obtenir plus d’information sur la façon dont une solution DNS Anycast D-Zone peut être utilisée par votre organisation, communiquez avec nous aujourd’hui en visitant acei.ca/d-zone. À PROPOS DE L’ACEI L’Autorité canadienne pour les enregistrements Internet (ACEI) gère le registre des noms de domaine .CA du Canada à titre de service disponible à 100 % pour la population et les organisations canadiennes. En plus d’assumer l’intendance du .CA, l’ACEI élabore et met en œuvre des politiques qui appuient les internautes canadiens ainsi que le registre .CA sur le plan international. 6