Accueil

Vidéo
Cliquez ici

Documents
Article
Diapositives


JRES 2013

Persée et la Gorgone : attaques par déni de service utilisant le DNS, et les contre-mesures

Auteur : Stéphane BORTZMEYER
37 : Persée et la Gorgone : attaques par déni de service utilisant le DNS, et les contre-mesures
Les années récentes ont vu une brusque augmentation du nombre
d'attaques par déni de service (DoS) utilisant le DNS. Les attaques
ainsi menées dépassent désormais couramment les 20 Gb/s cumulés.

Ces attaques exploitent le fait qu'UDP, principal protocole du DNS, ne
prévoit pas d'aller-retour et ne fournit donc aucune garantie sur
l'adresse IP source. Cela permet donc des attaques par *réflexion* où
l'attaquant écrit à un tiers, le *réflecteur*, en usurpant l'adresse
IP de la victime, afin que le tiers réponde à la victime. Comme la
réponse DNS est plus grosse que la question, La réflexion permet donc
une *amplification*, souvent d'un facteur 20 ou 30.

Depuis de nombreuses années, ces attaques utilisent des résolveurs DNS
ouverts. Les machines de l'attaquant font des requêtes aux
innombrables résolveurs DNS ouverts de la planète. Leur nombre a
diminué mais ils sont très loin d'avoir disparu, y compris dans la
communauté JRES.

En dehors des résolveurs ouverts, les serveurs faisant autorité,
par exemple ceux des TLD, sont aujourd'hui utilisés fréquemment pour
de telles attaques.

On peut regrouper les contre-mesures en trois catégories. La première
veut agir sur les réseaux : s'il était impossible ou difficile
d'usurper l'adresse IP d'un autre, le problème serait réduit.

La deuxième catégorie couvre les changements de protocole. En
modifiant le DNS pour y inclure un petit gâteau, ou bien en
abandonnant UDP pour TCP, résoudrait-on le problème ?

La troisième catégorie regroupe les techniques comme les mécanismes de
limitation de trafic (la fonction RRL des logiciels serveurs récents).

Vidéo

Documents

Article

358,7ko