Le système de noms de domaine (DNS) a été mis en place pour faciliter l’utilisation d’Internet. Il traduit les noms de domaine en adresses IP, lesquelles sont utilisées par les périphériques réseau. Le DNS vous permet d’utiliser http://www.google.com au lieu de http://74.125.224.72/ pour lancer une recherche.

Bref, c’est le principal service d’annuaire d’Internet.

Cependant, le DNS est une arme à double tranchant, en grande partie à cause de la nature peu sûre de l’infrastructure DNS. Celle-ci peut être exploitée par des cybercriminels.

Qu’est-ce que le DNS ?

En quelques mots, le DNS est un système distribué ancré par les serveurs de noms racine. En-dessous de celui-ci se trouve des zones DNS pouvant être constituées d’un ou plusieurs domaines (google.com, par exemple, est un domaine), c’est-à-dire un ensemble de serveurs de noms faisant autorité est attribué à chaque zone DNS.

Un serveur de noms faisant autorité (Authoritative Name Server) peut être soit un serveur maître, soit un serveur esclave. Un serveur maître stocke les copies originales des enregistrements de zone tandis qu’un serveur esclave conserve les copies des enregistrements maîtres.

Un serveur de noms faisant autorité fournit une réponse réelle à toutes vos requêtes DNS comme l’adresse IP d’un serveur de messagerie ou l’adresse IP d’un site web. Mais, même si son rôle principal est de fournir des réponses définitives aux requêtes DNS, il peut également fournir les réponses qui ont été mises en cache par un autre serveur de noms de domaine. Cela dit, il ne renvoie donc que des réponses aux questions sur les noms de domaine ayant été installées dans son système de configuration.

Comme susmentionné, il existe deux types de serveurs de noms faisant autorité :

  • D’une part, il y a le serveur maître qui est également appelé serveur de noms primaire. Ce type de serveur stocke les copies originales de tous les enregistrements de zone. Il ne peut apporter aucune modification qu’aux enregistrements de zone au niveau du serveur principal.
  • D’autre part, il y a le serveur esclave ou serveur de nom secondaire. Un serveur esclave est la réplique exacte du serveur maître. Il a pour rôle de partager la charge du serveur DNS et d’améliorer la disponibilité de la zone DNS au cas où il y aurait une défaillance du serveur maître. Par conséquent, il est recommandé de disposer d’au moins 2 serveurs esclaves et d’un serveur maître pour chaque nom de domaine.

A noter que chaque serveur esclave est mis à jour par le biais d’un mécanisme spécial du protocole DNS.

Le fonctionnement du DNS

Lorsqu’un utilisateur veut accéder à une page web spécifique, il doit entrer l’adresse de la page ou son nom DNS dans la barre d’adresse de son navigateur. Ensuite, ces informations sont envoyées aux serveurs DNS de leur fournisseur de services Internet (FAI) sous la forme d’une « requête DNS ». Chaque FAI possède une base de données de noms DNS et un répertoire d’adresses IP correspondantes. Si le serveur peut répondre à la requête initiale à l’aide de ce répertoire, il envoie alors une réponse « faisant autorité » à l’ordinateur de l’utilisateur pour qu’il puisse se connecter avec le site web.

Il est bien possible que l’annuaire du FAI ne puisse pas répondre à la requête DNS initiale avec une réponse « faisant autorité ». Dans ce cas, le serveur va vérifier son cache. Le cache d’un serveur comprend un enregistrement de toutes les requêtes précédentes. Si le serveur peut utiliser ces informations du cache pour répondre à l’utilisateur, il va tout de même répondre, mais avec une réponse « non autorisée ». Autrement dit, les informations qui sont fournies à l’utilisateur ne proviennent pas directement du répertoire de son FAI, mais d’un tiers.

Si malgré ces deux solutions, le serveur ne parvient pas encore à fournir une réponse à la requête, alors le processus de requête DNS va utiliser la récursivité. Cela signifie que l’enquête DNS du FAI de l’utilisateur va se servir des informations qu’il possède sur d’autres serveurs « faisant autorité » dans leurs fichiers racine pour contacter et obtenir les informations que l’utilisateur souhaite avoir. Une connexion peut alors être établie par le FAI et son serveur va stocker ces nouvelles informations dans sa mémoire cache pour que le serveur puisse y accéder lors des futures requêtes.

DNS pour IPv4

IPv4 est l’abréviation de « Internet Protocol version 4 », qui spécifie le format et le schéma de l’adresse IP utilisé sur votre réseau local (Local Area Network). Pour vous aider à comprendre ce que c’est de façon la plus simple, vous pouvez considérer l’IPv4 comme l’adresse d’un ordinateur, et chaque adresse est unique.

Pour IPv4, le DNS est le plus souvent étroitement intégré au protocole DHCP (Dynamic Host Configuration Protocol). DHCP fournit des adresses IP, des serveurs de noms DNS et d’autres informations aux périphériques d’un réseau privé ou public.

Ainsi, pour sécuriser le DNS, il faut également protéger le DHCP, et ce, grâce à l’utilisation de techniques telles que l’espionnage DHCP et la limitation du relais DHCP.

DNS pour IPv6

Considéré comme la version du protocole Internet (IP), l’IPv4 est le moyen le plus utilisé dans le monde. Pourtant, ses adresses IP disponibles sont épuisées. Ce protocole utilise 32 bits pour ses adresses Internet. Cela signifie qu’il ne peut prendre en charge qu’environ 4,29 milliards d’IP. Oui, cela peut sembler beaucoup, mais sachez que ces 4,29 milliards d’adresses ont déjà été attribuées à diverses institutions.

Voici pourquoi IPv4 doit être remplacé par une autre solution, à savoir Internet Protocol version 6 ou tout simplement IPv6. Ce nouveau protocole Internet IPv6 a été créé au milieu des années 90 et il est déjà très utilisé par les organismes gouvernementaux américains. Cette alternative à IPv4 commence également à s’introduire progressivement à travers le monde.

Selon la configuration du réseau IPv6, le protocole DHCP peut fournir ou non des informations DNS.

Par exemple, l’auto-configuration des adresses sans état (SLAAC) ne nécessite pas de serveur DHCPv6, car le message Router Advertisement (RA) fournit le nom du ou des serveurs DNS.

IPv6 est un système qui offre non seulement beaucoup plus d’adresses internet, mais il simplifie également l’attribution d’adresses et de fonctions de sécurité réseau supplémentaires.

Comment passer de IPv4 à IPv6 ?

La transition de IPv4 à IPv6 peut s’avérer difficile, car la plupart des gens ne sont pas familiers avec ces protocoles, et encore moins avec l’impact potentiel du passage à IPv6.

Heureusement, ces deux protocoles peuvent coexister au sein d’un réseau. Cela permet aux entreprises de passer facilement et progressivement de IPv4 à IPv6.

Pour ce faire, il faut une bonne programmation est un inventaire de l’infrastructure existante. Cette opération doit aussi inclure une liste de toutes les adresses IPv4 de votre infrastructure réseau ; une liste des adresses auxquelles elles sont référencées dans toutes les applications, ainsi qu’une liste de tous les mappages DNS. Grâce à l’inventaire, vous pourrez vérifier si votre fournisseur DNS externe actuel et les périphériques de votre infrastructure réseau peuvent prendre en charge IPv6.

Attaques DNS

Le DNS fait partie de l’infrastructure fonctionnelle et du cadre de confiance de l’Internet. Sans les noms de domaine, les énormes matériels, logiciels et applications internet des entreprises ne pourront être trouvés et accessibles par les utilisateurs.

Malheureusement, parce que le DNS constitue un élément clé de l’infrastructure, il est devenu un élément très ciblé par les pirates informatiques.

Les attaques de déni de service distribué (DDoS) ciblant le DNS sont un type spécifique d’attaque exposant les vulnérabilités du DNS.

Un white hat recherche un résolveur DNS ouvert et lance une attaque par Déni De Service Distribué (DDoS), soit contre le résolveur lui-même, soit contre d’autres systèmes. La cible reçoit une réponse DNS de partout sur Internet. Les réponses DNS peuvent ensuite être usurpées, ou créées avec de fausses informations, pour rediriger les utilisateurs de sites légitimes vers des sites web malveillants.

Qu’est-ce qu’une attaque DDoS ?

Une attaque DDoS implique la surcharge intentionnelle d’un dispositif, dans le but de rendre ce dispositif ou le service qu’il fournit inaccessible aux utilisateurs.

L’attaque DDoS utilise trois éléments : le spoofing, la réflexion et l’amplification. En réalité, le but des pirates informatiques est de saturer un serveur de noms à travers de nombreux résolveurs DNS ouverts et en utilisant des botnets.

Le spoofing consiste à envoyer un grand nombre de requêtes à des dizaines de milliers de serveurs DNS où l’adresse IP source est spoofée vers le ou les serveurs DNS de l’organisation ciblée. Ensuite, ces serveurs reflètent l’attaque depuis la source vers la cible. Enfin, l’amplification intervient lorsque le serveur réfléchissant répond à la requête relativement petite avec une réponse beaucoup plus grande.

Dans le cas du DNS, le problème est aggravé parce qu’une très petite requête – de moins de 100 octets – peut être amplifiée jusqu’à 50 fois (ou plus) pour générer des milliers d’octets en réponse.

À elle seule, cette forme d’attaque ne tente pas d’accéder aux données d’une organisation. Pourtant, elle peut être utilisée à des fins malveillantes par des pirates informatiques pour empêcher l’accès à certaines ressources ou inhiber certains services fournis par le système ciblé.

Les attaques DDoS ne cessent d’augmenter dans le monde entier. L’une des plus importantes attaques jamais réalisées s’est produite contre les serveurs Dyn DNS en octobre 2016. Les pirates ont utilisé des dispositifs IoT (internet des objets) pour générer jusqu’à 1 téraoctet de trafic. Selon le Worldwide Infrastructure Security Report (WISR), un tiers des opérateurs DNS ont signalé une attaque de ce genre qui ont affecté leurs clients.

Attaque Spamhaus en 2013

L’énormité d’une attaque DDoS est époustouflante. Prenons pour exemple celle qui a été menée en mars 2013 contre Spamhaus, une organisation internationale non gouvernementale basée à Genève et à Londres.

L’attaque a commencé avec une requête DNS avec une adresse IP bidon, mais elle a rapidement pris de l’ampleur pour deux raisons.

Premièrement, la taille du paquet de réponses envoyé par le résolveur DNS est souvent plusieurs fois supérieure à celle du paquet de requêtes. Deuxièmement, le nombre de réponses DNS générées augmente exponentiellement à mesure que le nombre de serveurs participant augmente.

Selon Spamhaus, plus de 30 000 résolveurs DNS ont initialement participé à l’augmentation du flux de réponses DNS.

Si une grande quantité de trafic est reçue d’une adresse IP, la sécurité peut être configurée pour limiter les paquets provenant de cette adresse.

Mais pour l’incident de Spamhaus, les attaquants ont utilisé un grand nombre d’adresses IP différentes. Par conséquent, le nombre de réponses DNS de chaque adresse IP individuelle n’a pas déclenché le mécanisme de limitation de paquets.

Détournement du DNS

Cette attaque est très facile à comprendre, comparée au spoofing. Elle consiste à changer complètement vos paramètres DNS, de sorte que toutes les requêtes de votre trafic Internet puissent être dirigées vers un serveur DNS malveillant. De ce fait, les résultats que vous recevrez – notamment les sites web que vous verrez dans votre navigateur – seront tous très probablement infectés ou corrompus.

Le fait que l’attaque est plus facile à comprendre ne signifie pas pour autant qu’elle est facile à détecter. En réalité, les pirates utilisent des chevaux de Troie spécifiquement conçus pour modifier les paramètres du DNS.

Pour que cette menace réussisse, les pirates doivent passer par une étape préliminaire, où les ordinateurs vont être affectés par des botnet qui donnent aux attaquants le contrôle du système.

Une autre façon de détourner les DNS consiste à modifier le comportement d’un serveur DNS de confiance, de telle sorte qu’il paraisse plus conforme aux standards Internet.

Dans les deux cas, le résultat reste toutefois le même, c’est-à-dire que les victimes se verront livrer toujours des sites web malveillants via lesquels des campagnes de pharming ou de phishing peuvent être lancées.

Identification du trafic DNS malveillant

Le DNS peut utiliser les protocoles TCP ou UDP. Le trafic sur le port TCP 53 représente souvent des transferts de zone pour garder les serveurs esclaves en synchronisation avec le fichier de zone maître. Toutefois, des intrus peuvent utiliser ce mécanisme pour télécharger le contenu du fichier de zone d’un serveur de noms. Pour éviter cela, les administrateurs doivent bloquer les demandes de transfert de zone à partir de tout périphérique autre que le serveur de noms esclave autorisé.

Comme tout autre port, le port 53 peut être utilisé en guise de tunnel de trafic non autorisé. Méfiez-vous donc si Wireshark signale des paquets « malformés » ou demandant des « opérations inconnues ».

À quoi ressemble le trafic malveillant ?

Pour comprendre la différence entre trafic malveillant et trafic bénin, vous devez d’abord comprendre la manière générale dont les malwares ciblent le DNS. Ces derniers utilisent généralement les algorithmes de génération de domaine (DGA) ou le DNS tunneling/C2.

Les DGA se produisent lorsqu’un malware communique avec un domaine généré de manière algorithmique plutôt que de faire cela avec un domaine C2 codé en dur. Ces domaines ont un aspect distinct et intègrent souvent des chaînes de caractères aléatoires. À noter que les DGA ne font que générer des domaines d’apparence aléatoire. Certains algorithmes peuvent aussi utiliser des mots du dictionnaire informatique pour rendre les domaines moins suspects.

Pour les auteurs de malware, le grand avantage de l’utilisation de la DGA est que, lorsqu’un seul domaine est en cours d’arrêt, cela ne signifie pas qu’ils ont perdu le contrôle de leur malware. Si les défenseurs tentent d’éteindre les malwares en mettant des noms de domaines sur une liste noire, ils auront plus de mal à le faire puisque les pirates peuvent contourner facilement ce système de défense.

Quant au DNS tunneling, cette forme d’atteinte à la sécurité utilise le DNS lui-même pour le transfert de données. Cette forme de cyberattaque code les données d’autres programmes ou protocoles dans les requêtes et les réponses DNS. Elle inclut souvent des données utiles qui peuvent être ajoutées au serveur DNS ciblé et utilisées pour contrôler un serveur distant et ses applications.

Parmi les récentes attaques de DNS tunneling, on peut citer celles menées par le groupe DarkHydrus en 2018 – ciblant des entités gouvernementales au Moyen-Orient – et OilRig qui opère depuis 2016 et est toujours en activité.

Apparence bénigne mais suspecte

Ces deux techniques de cyberattaques devraient être suffisamment distinctes pour que les professionnels de l’informatique puissent les éviter. Mais il faut aussi noter qu’il existe un certain nombre de logiciels légitimes qui se comportent de la même manière.

Prenons l’exemple de Google Chrome. Au démarrage, ce navigateur interroge 3 domaines aléatoires. Ce comportement est nécessaire pour assurer le bon fonctionnement de l’Omnibox pour certains types de requêtes. Pourtant, ce mode de fonctionnement peut paraître très suspect pour la solution de sécurité de votre réseau.

Pour différencier ce trafic bénin du trafic malveillant réel, vous devez savoir que les domaines générés par Chrome n’incluront que les domaines racine qui figurent dans votre liste de suffixes DNS par défaut.

Une autre catégorie courante de trafic suspect, mais finalement bénin, est celle des logiciels de protection des terminaux qui communiquent avec leur infrastructure. Par exemple, Sophos Extensible List peut créer un certain nombre de requêtes différentes pour sophosxl.net. Il existe une variété de raisons différentes de faire cela, y compris les recherches de réputation IP et les vérifications de latence de la transmission des données. Nous avons vu McAfee et Cymru utiliser ce genre de méthode pour leurs systèmes DNS.

Ce trafic peut ressembler au tunneling DNS, car il utilise essentiellement le DNS de la même manière que les malwares. Pourtant, comme le domaine racine est celui d’un fournisseur connu et qui est déployé sur votre réseau, ce trafic est bénin, même si des recherches fondamentales et des analyses de l’infrastructure du domaine soient encore recommandées pour le confirmer.

Prévenir ou empêcher une attaque DNS ?

Le DNS peut être configuré pour atténuer les problèmes de sécurité DNS courants. Selon le projet Open Resolver, « les résolveurs ouverts représentent une menace importante pour l’infrastructure réseau globale ».

Empêchez votre serveur DNS d’être un résolveur ouvert, répondant aux requêtes DNS de n’importe quelle adresse sur Internet. Limitez les serveurs récursifs internes aux sous-réseaux IP utilisés par votre entreprise.

Gardez cependant à l’esprit que de nombreux (sinon la plupart des) résolveurs DNS sur Internet sont ouverts, soit parce qu’ils n’ont pas été sécurisés, soit parce qu’ils sont destinés à être ouverts au public, comme le service Comodo. Pour tester votre adresse IP pour détecter les résolveurs ouverts, consultez http://www.thinkbroadband.com/tools/dnscheck.html.

Bien qu’il n’existe aucun moyen sûr d’empêcher une attaque DNS, les mesures suivantes peuvent minimiser les risques :

  • Le blocage DNS utilisé pour la sécurité contre le phishing et le spam peut aider à prévenir les attaques DNS. Ce mécanisme empêche les entités de localiser des domaines ou des sites Web spécifiques et malveillants sur Internet.
  • Configurez vos serveurs DNS faisant autorité pour utiliser la limitation du taux de réponse DNS.
  • Le trafic DNS doit être limité en fonction du type de paquet DNS. Par exemple, une réponse de transfert de zone aurait un seuil plus élevé qu’une réponse pour le nom du serveur DNS.
  • Travaillez avec votre fournisseur d’accès Internet pour bloquer ou limiter le trafic que vous ne voulez pas sur votre réseau, si possible.
  • Surveillez votre réseau, en particulier les adresses IP des clients qui utilisent le plus de bande passante.

La fermeture des résolveurs ouverts et l’utilisation du blocage DNS ne peuvent pas protéger contre l’usurpation d’identité des paquets. Ainsi, Google déclare que votre site doit être équipé pour faire face à une charge accrue occasionnée par une attaque. Il vous faudra un filtre pour les cycles de bande passante et de processeur ainsi qu’une capacité générale d’équilibrer la charge.

Utilisez le filtre DNS WebTitan pour mieux sécuriser votre réseau

Le filtre DNS WebTitan est une couche de protection tierce qui permet de protéger en temps réel votre réseau contre les menaces en ligne comme les virus, les malwares, les ransomwares, le phishing et les botnets. Voici les principales caractéristiques de ce service basé dans le cloud :

  • Filtrage des URL avec une catégorisation en temps réel de plus de 500 millions de sites web.
  • Des clés cloud qui permettent aux administrateurs réseau de créer facilement des exceptions aux politiques de l’utilisation de l’internet sans avoir à les modifier.
  • Un système de filtrage complet avec plus de 53 catégories personnalisables.
  • Une grande protection contre les menaces en ligne grâce à l’utilisation d’une liste noire de DNS et d’URL malveillants.
  • Une plate-forme en ligne facile à mettre en place et à utiliser.
  • Suite complète de plus de 50 rapports prédéfinis avec de multiples options de programmation et d’exportation.
  • Visibilité en temps réel des activités de navigation de tous les utilisateurs du réseau de l’entreprise.
  • Un système basé dans le cloud, offrant un filtrage pour tous les utilisateurs, même ceux qui travaillent à distance.

Bref, ce filtre DNS est conçu pour faire de l’internet un endroit plus sûr et plus sécurisé pour vous et vos employés.

DNS FAQ

Qu’est-ce que le DNS ?

Le système de noms de domaine, ou DNS, est comme l’annuaire téléphonique de l’Internet. Il fonctionne en traduisant votre URL en utilisant la langue des ordinateurs. Cette langue, c’est-à-dire les adresses IP, est constituée d’une suite de chiffres du type 105.136.182.205.

Pour un simple internaute, il serait difficile de mémoriser ces chiffres pour chaque site qu’il visite. C’est pour cela qu’il lui faut le DNS. C’est un système qui peut traduire ces chiffres dans des noms communs pour qu’il le reconnaisse, comme Google.com.

Qu’est-ce que le filtrage DNS ?

Le filtrage DNS est une pratique consistant à bloquer l’accès à certains sites dans un but précis, dans la plupart des cas via un filtrage basé sur le contenu. Plus précisément, si un site (ou une catégorie de sites) représente une menace, son adresse IP sera instantanément bloquée par votre filtre DNS, c’est-à-dire que vos employés ne pourront pas accéder à ce site.

Parmi les sites qui sont susceptibles d’être bloqués, on compte par exemple les sites pour adultes ; les sites de jeu et toute autre plateforme en ligne qui peut présenter un risque important, comme ceux pouvant télécharger des malwares.

Comment le DNS est-il utilisé par les pirates informatiques ?

Un pirate informatique cherche toujours à trouver un moyen de faire en sorte qu’un site web signale la mauvaise adresse IP. Lorsque cela est fait, toute personne, comme vos employés, peut essayer d’accéder au site web en question. Ensuite, ils seront redirigés vers un faux site web.

Les cybercriminels peuvent également placer de fausses informations dans le cache d’un serveur. Ils y parviennent en attribuant à une demande d’information à une fausse réponse en utilisant une adresse IP source truquée.

Une fois que la fausse réponse revient, elle sera toujours mise en cache. Les pirates profitent ensuite de cette option pour répondre à toutes les demandes d’information jusqu’à ce que l’information soit considérée comme légitime et pour qu’ils puissent télécharger leur charge utile.

Pourquoi utiliser un filtre DNS ?

Un autre avantage de l’utilisation d’un filtrage DNS pour les entreprises est l’augmentation de la productivité de leur personnel. Par exemple, les sites de streaming peer-to-peer peuvent saper la bande passante, mais cela constitue également une source de téléchargement de malwares et peut saper la bande passante, outre le fait de distraire les travailleurs

Il suffit pourtant d’appliquer des politiques de filtrage DNS pour empêcher vos employés de visiter ces sites et de mieux contrôler leurs réseaux informatiques.

Un filtre DNS est-il suffisant pour vous mettre à l’abri des menaces cybercriminelles ?

Un serveur DNS sécurisé peut bloquer les sites web malveillants ou interdire leur consultation. Il faut également noter que certains serveurs DNS sécurisés peuvent offrir une confidentialité accrue pour protéger les données des utilisateurs.

Outre le filtrage DNS, vous pouvez aussi adopter d’autres moyens si vous voulez rendre votre processus DNS plus sûr. Il est par exemple possible d’appliquer le protocole DNSSEC qui permet de vérifier que les résolveurs DNS et qui fournit des informations exactes concernant les éventuelles attaques cybercriminelles.

Vous pouvez aussi utiliser les protocoles DNS DoT et DoH pour chiffrer les requêtes et les réponses DNS pour que les pirates ne puissent pas traquer les requêtes DNS de l’un de vos employés et pour suivre leurs activités en ligne.