ICANN : réduire les risques d’attaques DDoS avec amplification DNS

En raison de l’augmentation du nombre d’attaques DDoS qui amplifient le trafic parasite par DNS, le comité consultatif sur la sécurité et la stabilité de l’ICANN (SSAC) a publié un bulletin consacré à cette menace d’actualité. Les recommandations fournies dans ce document sont destinées aux opérateurs de réseau et de services DNS ainsi qu’à l’organisme de régulation d’Internet lui-même en tant qu’organisme responsable de l’amélioration de l’efficacité des mesures globales adoptées contre l’utilisation malveillante et de l’intégration de toutes les parties intéressées dans le processus de résolution de ce sérieux problème.

Les statistiques indiquent que l’année dernière, le nombre de tentatives d’amplification du trafic DDoS via l’utilisation de protocoles réseau largement répandus comme SNMP, DNS et, récemment, NTP, a fortement augmenté. Les caractéristiques principales de ces plateformes que les individus malintentionnés exploitent à leur avantage sont la possibilité de substituer l’adresse IP de la source des requêtes et la réception des réponses dont le volume est plusieurs fois supérieur à celui des requêtes. Une attaque DDoS qui intègre des périphériques d’amplification qui répondent aux requêtes de l’attaquant en envoyant un flux imposant à une adresse IP désignée peut engendrer une surcharge significative du trafic et mettre la cible hors-service.

Dans le cas du DNS, il s’agit d’un facteur d’amplification plusieurs fois, voire des dizaines de fois, supérieur sur chaque appareil intermédiaire, dont un serveur de production qui possède une grande bande passante. Comme on l’a déjà signalé à plusieurs reprises, l’effet de levier dans ces attaques DDoS est obtenu à l’aide de résolveurs ouverts qui mettent les serveurs DNS en cache et qui, en raison de leur configuration, sont capables de recevoir des requêtes non seulement depuis leurs propres clients, mais également depuis n’importe quel utilisateur d’Internet. Quand le nombre de ces intermédiaires est élevé, la puissance globale du trafic DDoS peut atteindre plusieurs centaines de Gbits/s. A l’heure actuelle, le record de puissance pour une attaque DDoS avec amplification par DNS est détenu par une attaque de l’année dernière menée contre l’organisation de lutte contre le spam Spamhaus. Cette attaque qui avait impliqué plus de 30 000 résolveurs avait enregistré un pic de 300 Gbits/s.

Le problème des résolveurs DNS qui peuvent être exploités de la sorte est vieux de plus de 10 ans et l’augmentation du nombre d’attaques DDoS puissantes impliquant de tels intermédiaires l’a aggravé jusqu’à un niveau critique. Malheureusement, malgré tous les efforts des experts et des activistes, le nombre de ces périphériques sur Internet reste élevé : au 27 octobre 2013, la base de données Open Resolver Project comptabilisait 32 millions de résolveurs actifs et d’après les responsables du projet, 28 millions d’entre eux constituaient une menace importante. Le comité consultatif sur la sécurité et la stabilité de l’ICANN invite les opérateurs de services DNS vulnérables à adopter des mesures urgentes pour limiter l’accès, bloquer le flux de requêtes visant à amplifier le trafic et ignorer les requêtes envoyées à des domaines qui ont déjà été identifiés en tant que partie d’un DrDos (attaques par amplification).

Pour éviter la substitution de la source des requêtes DNS, le comité consultatif recommande aux opérateurs de réseau d’adopter les méthodes présentées dans le mémorandum BCP-38 du groupe de travail réseau IETF. Ce document, publié en mai 2000, décrit en détails la mise en œuvre d’un filtre d’entrée qui peut être installé sur un routeur périphérique ou sur un pare-feu. Ce filtre sera en mesure de bloquer les paquets dont l’adresse de l’expéditeur a été substituée et peut prévenir des attaques au niveau de la cible.

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *