Le syst\u00e8me de noms de domaine (domain name system<\/em> [DNS]) fait partie de l\u2019infrastructure fonctionnelle d\u2019Internet et de son cadre de \u00ab confiance \u00bb. Sans ces serveurs de noms, l\u2019investissement massif en mat\u00e9riel, en logiciels et en applications r\u00e9alis\u00e9 par les organisations ne permettrait pas \u00e0 leurs clients de les joindre. Malheureusement, puisque le DNS est un \u00e9l\u00e9ment cl\u00e9 de l\u2019infrastructure, des acteurs malveillants le ciblent fr\u00e9quemment. Les attaques par d\u00e9ni de service distribu\u00e9 (distributed denial of service<\/em> [DDoS]) sont un type d\u2019attaques qui mettent en lumi\u00e8re les vuln\u00e9rabilit\u00e9s du syst\u00e8me DNS. Le pr\u00e9sent document explique ce type d\u2019attaque particuli\u00e8re.<\/p>\n Une attaque par DDoS vise \u00e0 saboter le syst\u00e8me sans mobiliser celui des attaquants. Ces derniers \u00e9vitent ainsi de se trouver d\u00e9masqu\u00e9s. Bien que ce type d\u2019attaque n\u2019ait pas pour but fondamental d\u2019acc\u00e9der aux donn\u00e9es des organisations, des personnes malveillantes peuvent y recourir pour priver le syst\u00e8me cibl\u00e9 de ressources ou le mettre hors service. Qui plus est, en r\u00e8gle g\u00e9n\u00e9rale, les attaques par DDoS se sont multipli\u00e9es partout dans le monde depuis des ann\u00e9es, et 2016 n\u2019y a pas fait exception. L\u2019une des plus ambitieuses \u00e0 ce jour a frapp\u00e9 les serveurs DNS de Dyn en octobre 2013 et fait appel \u00e0 des objets connect\u00e9s (IoT) pour produire jusqu\u2019\u00e0 un To de trafic. Un bon tiers des op\u00e9rateurs de DNS (les entreprises et les organisations qui disposent de serveurs DNS) ont fait \u00e9tat d\u2019une attaque de ce type ayant une incidence sur la client\u00e8le (source : Arbor Networks 2016 report on Security<\/em>). Du c\u00f4t\u00e9 des prestataires de services, ce nombre bondit \u00e0 50 %!<\/p>\n<\/p><\/div>\n<\/div>\n Le syst\u00e8me de noms de domaine (domain name system [DNS]) fournit le r\u00e9seau de base d\u2019Internet en tenant lieu de traducteur des adresses IP (192.228.29.1) en noms de site ais\u00e9ment lisibles (c.-\u00e0-d., www.acei.ca<\/a>), et cela, au moyen d\u2019enregistrements de ressource. Il est essentiel au fonctionnement d\u2019Internet, puisqu\u2019il permet le recours \u00e0 des noms logiques et lisibles plut\u00f4t qu\u2019aux adresses IPv4 ou IPv6 complexes. De plus, il assure la mise en correspondance des serveurs de courriel et des serveurs SIP, des redirections et des signatures num\u00e9riques et plus encore.<\/p>\n Le DNS est une base de donn\u00e9es r\u00e9partie organis\u00e9e sous forme d\u2019arborescence de noeuds interconnect\u00e9s (serveurs ou grappes de serveurs) dans laquelle chaque noeud est une partition de la base de donn\u00e9es. Les noeuds sont attribu\u00e9s \u00e0 des autorit\u00e9s d\u00e9sign\u00e9es, et un noeud ou un groupe de noeuds ne peut avoir plus d\u2019une autorit\u00e9.<\/p>\n<\/p><\/div>\n<\/div>\n Un tiers des entreprises font \u00e9tat d\u2019attaques par DDoS du serveur DNS (Source : Arbor Networks 2016 report on Security)<\/p>\n<\/p><\/div>\n<\/div>\n Une attaque par DDoS du DNS repose sur trois \u00e9l\u00e9ments : la mystification, la r\u00e9flexion et l\u2019amplification. Puisque l\u2019objectif de l\u2019attaquant consiste \u00e0 saturer un serveur de noms, ces volets de l\u2019attaque sont g\u00e9n\u00e9ralement distribu\u00e9s \u00e0 l\u2019\u00e9chelle de plusieurs r\u00e9solveurs DNS ouverts au moyen de zombies. En recourant \u00e0 la mystification, l\u2019attaquant envoie un immense nombre de requ\u00eates \u00e0 des dizaines de milliers de serveurs DNS o\u00f9 l\u2019adresse IP source est remplac\u00e9e par celle de l\u2019organisation cible. Ensuite, ces serveurs relaient l\u2019attaque \u00e0 partir de la source de la cible.<\/p>\n<\/p><\/div>\n<\/div>\n Les DNSSEC constituent un protocole de s\u00e9curit\u00e9 pour les noms de domaine. Elles sont utilis\u00e9es pour confirmer que le site Web auquel l\u2019internaute s\u2019attend \u00e0 acc\u00e9der est bien celui auquel il acc\u00e8de.<\/p>\n Les DNSSEC contribuent \u00e0 corriger un probl\u00e8me observ\u00e9 depuis les d\u00e9buts d\u2019Internet ainsi qu\u2019\u00e0 emp\u00eacher les attaques de l\u2019homme du milieu. Ce protocole se distingue du protocole SSL qui, faisant appel \u00e0 un ensemble de protocoles semblables, vise \u00e0 s\u00e9curiser les communications une fois qu\u2019elles ont \u00e9t\u00e9 entreprises.<\/p>\n Les registres des domaines de premier niveau ont t\u00f4t fait d\u2019adopter le protocole DNSSEC. En 2014, sa mont\u00e9e en popularit\u00e9 s\u2019est emball\u00e9e \u00e0 l\u2019\u00e9chelle d\u2019Internet alors que des acteurs d\u2019importance tels que Microsoft et Google ont commenc\u00e9 \u00e0 en promouvoir activement les avantages.<\/p>\n Cependant, les DNSSEC ont le potentiel d\u2019amplifier une attaque par DDoS encore davantage, puisque les octets suppl\u00e9mentaires requis pour transmettre les cl\u00e9s sont \u00e0 m\u00eame d\u2019augmenter l\u2019amplification.<\/p>\n<\/p><\/div>\n<\/div>\n Plusieurs intervenants de l\u2019industrie tentent de faire en sorte que les (dizaines de millions de) serveurs DNS r\u00e9cursifs ouverts soient \u00e9limin\u00e9s en se concentrant sur les r\u00e9seaux o\u00f9 ils se trouvent et en les faisant fermer. Toutefois, il s\u2019agit d\u2019un probl\u00e8me mondial extr\u00eamement \u00e9pineux dont la source est le comportement adopt\u00e9 par inadvertance tant par les gens que par les entreprises. Vraisemblablement, la prolif\u00e9ration des objets connect\u00e9s aggravera la situation encore davantage. Plut\u00f4t que de tenter de r\u00e9soudre ce probl\u00e8me, il existe pour les services des TI une solution plus rapide et dynamique.<\/p>\n En ce qui concerne les attaques par DDoS \u00e0 la couche application, les services des TI se concentrent sur leur infrastructure de serveur, par exemple en limitant les r\u00e9ponses aux paquets trop volumineux, en abandonnant totalement les r\u00e9ponses, en limitant le taux de trafic ou en le bloquant enti\u00e8rement de certains serveurs. Ces types de tactiques constituent un \u00e9l\u00e9ment important de la solution, mais cela ne r\u00e9sout pas les probl\u00e8mes par rapport au DNS. \u00c0 son \u00e9gard, le recours \u00e0 la technologie anycast constitue une tactique d\u00e9ploy\u00e9e avec succ\u00e8s par les registres de noms de domaine et plusieurs grandes organisations.<\/p>\n Les serveurs DNS anycast permettent aux organisations de d\u00e9ployer un ensemble de serveurs DNS \u00e0 l\u2019\u00e9chelle mondiale, lesquels peuvent tous r\u00e9soudre l\u2019adresse. Puisque le fait que le serveur le plus rapproch\u00e9 sur le plan g\u00e9ographique r\u00e9ponde \u00e0 la requ\u00eate constitue l\u2019une des caract\u00e9ristiques d\u2019un DNS anycast, les attaques dont un n\u0153ud fait l\u2019objet ne toucheront que la client\u00e8le r\u00e9gionale. Maintenir deux nuages anycast ou davantage sur une infrastructure et une connectivit\u00e9 de r\u00e9seau diff\u00e9rentes procure une redondance r\u00e9gionale encore plus cibl\u00e9e qui contribue \u00e0 att\u00e9nuer l\u2019incidence d\u2019une attaque.<\/p>\n En plus d\u2019\u00e9liminer ce risque, si une entreprise exerce une part importante de ses activit\u00e9s sur le plan national, disposer quelques n\u0153uds locaux \u00e0 large bande passante peut contribuer \u00e0 prot\u00e9ger votre trafic local contre une attaque qui provient de l\u2019\u00e9tranger. Pourquoi? Parce que l\u2019attaque en question sera absorb\u00e9e par le serveur situ\u00e9 \u00e0 l\u2019\u00e9tranger le plus rapproch\u00e9 de celle-ci, ce qui laissera indemnes vos serveurs au pays. M\u00eame si un serveur DNS donn\u00e9 ne peut plus r\u00e9pondre aux requ\u00eates, le temps que l\u2019attaque passe \u00e0 un nouveau n\u0153ud, l\u2019ancien peut \u00eatre de retour en ligne. De fait, cela devient une partie mondiale de colin-maillard sur des serveurs DNS qui, de toute mani\u00e8re, ne procurent pas le contenu au sein de la r\u00e9gion ou du march\u00e9 le plus important pour vous.<\/p>\n<\/p><\/div>\n<\/div>\n Une entreprise internationale peut d\u00e9cider de g\u00e9rer plusieurs nuages anycast distincts, chacun servant un march\u00e9 particulier.<\/p>\n Pour ce faire, nous recommandons de recourir \u00e0 un ou \u00e0 plusieurs fournisseurs experts de solutions DNS offrant des services qui aident les soci\u00e9t\u00e9s \u00e0 cibler leur trafic DNS sur le plan g\u00e9ographique. La r\u00e9silience et la rapidit\u00e9 accrues de votre r\u00e9seau global constituent les autres avantages de recourir \u00e0 des fournisseurs redondants.<\/p>\n<\/p><\/div>\n<\/div>\n Autrement, si une organisation pr\u00e9f\u00e8re disposer de son infrastructure DNS faisant autorit\u00e9, elle peut construire et g\u00e9rer des centres de donn\u00e9es organisationnels. M\u00eame selon ce sc\u00e9nario, faire appel \u00e0 la gestion des sauvegardes par un tiers au moyen d\u2019anycast constitue une fa\u00e7on rentable de contribuer \u00e0 prot\u00e9ger le r\u00e9seau.<\/p>\n Enfin, la solution DNS peut \u00eatre abord\u00e9e \u00e0 titre de r\u00e9seau national ou de r\u00e9seau mondial, ou elle peut \u00eatre construite en tant que s\u00e9rie de r\u00e9seaux concentr\u00e9s au pays au sein des march\u00e9s les plus importants pour l\u2019organisation afin de contribuer \u00e0 prot\u00e9ger chaque unit\u00e9 fonctionnelle en appliquant le degr\u00e9 ad\u00e9quat d\u2019att\u00e9nuation des risques.<\/p>\n En savoir plus sur DNS Anycast D-Zone<\/a><\/p>\n<\/p><\/div>\n<\/div>\nComment le syst\u00e8me de noms de domaine (DNS) fonctionne-t-il?<\/h2>\n
![\"sb-reported-ddos-attacks-fr.png\"](\"https:\/\/stg.cira.ca\/uploads\/2023\/01\/sb-reported-ddos-attacks-fr-1.png\")
<\/p>\n![\"sb-how-attack-works-fr.png\"](\"https:\/\/stg.cira.ca\/uploads\/2023\/01\/sb-how-attack-works-fr-1.png\")
<\/p>\nComment une attaque par DDoS d\u2019un DNS se d\u00e9roule t elle?<\/h2>\n
Le r\u00f4le potentiel des DNSSEC<\/h2>\n
Contribuer \u00e0 att\u00e9nuer le probl\u00e8me gr\u00e2ce \u00e0 une infrastructure DNS Anycast<\/h2>\n
D\u00e9ployer un r\u00e9seau DNS Anycast pour contribuer \u00e0 att\u00e9nuer les attaques par DDoS<\/h2>\n
![\"sb-unicast-vs-anycast-en-fr\"](\"https:\/\/stg.cira.ca\/uploads\/2023\/01\/sb-unicast-vs-anycast-en-fr-2.png\")
<\/p>\n
![\"sn-anatomy-of-ddos-attack-thumb-en\"](\"https:\/\/stg.cira.ca\/uploads\/2023\/01\/sn-anatomy-of-ddos-attack-thumb-en-2.jpg\")
<\/p>\n