PROTECTION DNS

Attaques sur les DNS

DNS (Domain Name System) est un système informatique distribué de serveurs de noms de domaines.  

Au lieu de cibler le site internet lui-même, l’attaque choisit le serveur DNS contenant les informations concernant le domaine de du site internet. Dans ce cas, les moteurs de recherche des internautes ne sont pas capable de déterminer l’adresse IP, rendant ainsi indisponible le site attaqué.

Le pirate peut générer en permanence des requêtes DNS sur le serveur de nom de telle sorte que les ressources du serveur sont diminuées. Chaque requête DNS nécessite 1000 fois plus de CPU sur le serveur qu’elle n’en génère côté client. Le protocol UDP ne fournit aucun moyen de vérifier la légitimité de la connexion. Cela facilite l’usurpation de l’adresse source des requêtes DNS. Comme les paquets semblent complètement légitimes, le serveur répond à l’ensemble et finit par saturer. La seule façon d’atténuer ce type d’attaques sans le recours à une protection consiste à augmenter la performance du serveur, ce qui n’est pas pratique voire impossible.

Par ailleurs, augmenter les ressources est problématique sachant que le serveur lui-même peut être exploité par les malfaiteurs pour organiser et amplifier leurs attaques sur d’autres victimes. 

NOTRE SERVICE DE PROTECTION DNS

La protection contre ce type d’attaques est rendue possible grâce à un serveur DNS supplémentaire fourni par notre partenaire Qrator Labs. Cela comprend des méthodes avancées d’atténuation des attaques DNS et met en place une logique spécifique qui distingue les requêtes bogus générés par les bots des requêtes légitimes et les traite différemment. Pour utiliser les services de protection DNS, vous pouvez choisir entre deux options de configuration :

1. Le DNS secondaire de Qrator (protection avec diffusion de la zone du nom de domaine). Le client consent à transférer son serveur primaire à une certaine adresse attribuée par Qrator. Il déclare cette adresse comme le serveur DNS autoritaire pour la zone du nom du client, soit en remplaçant soit en complétant les serveurs existants. Qrator configure le transfert du fichier de la zone du nom depuis le serveur primaine du client dont l’adresse IP devienne inconnue pour les pirates (cette configuration s’appelle Hidden Primary).

 2. Qrator DNS Reverse Proxy (protection sans diffusion de la zone du nom de domaine). Dans certains cas (i.e. conditions de la politique de sécurité), le client n’a pas la possibilité de déléguer le contrôle sur la zone du nom à notre serveur. Si c’est le cas, le client nous indique simplement les adresses IP des serveurs DNS autoritaires et, si possible, celles du serveur de nom primaire caché dont les données ne sont pas divulguées publiquement. Ensuite, le serveur Qrator déployé sur une certaine adresse dans le réseau Qrator, doit être déclaré comme autoritaire pour la zone du nom du client, soit en remplaçant soit en complétant les serveurs existants. Dans cette congifuration, le serveur Qrator représentera un serveur récursif contenant dans son cache les données de la zone de nom du clien. Si notre serveur manque certaines informations, il envoie une requête au serveur en amont and inclut dans son cache la réponse. En parallèle, toutes les variantes possibles de la croissance du vecteur d’attaque sont prises en compte.

LES AVANTAGES DU DNS QRATOR

• Solution Cloud dans le réseau Qrator

Nul besoin pour le client d’installer un nouveau logiciel ni même d’acheter de nouveaux équipements.

• Facilité de configuration et mise en place

• Maintien d'un DNS opérationnel

Assurance d’avoir au moins un serveur toujours opérationnel en cas d’attaque DNS

• Stabilité renforcée de la ressource même en l’absence d’attaque

Suivez-nous sur les réseaux sociaux