Les serveurs DNS toujours utilisés pour les attaques DDoS basées sur l'usurpation IP

Par Rédaction, secuobs.com
Le 01/02/2009

---

Résumé : On constate actuellement une continuation de l'exploitation des serveurs DNS ouverts en tant que relai afin de mener des attaques par Dénis de Service Distribué contre des infrastructures dont les adresses IP ont été usurpées pour envoyer les requêtes DNS initiales. - Lire l'article



A l’heure actuelle, les attaques par Déni de Service Distribué DDoS ( lien ) continuent de plus belle en utilisant comme relai des serveurs DNS ( lien ) ouverts qui autorisent n’importe qui à effectuer des résolutions de noms de domaine en adresses IP. L’attaque en question repose principalement sur l’usurpation ( Spoofing - lien ) de l’adresse IP de la victime finale, celle-ci étant alors identifiée comme la source des multiples requêtes DNS initiales basées sur l'utilisation du protocole de transport sans vérification d'état UDP ( lien ).

Ces requêtes, qui portent sur les informations racine ( lien ) fournies par le serveur DNS, ont pour conséquence particulière de provoquer l’établissement d’une réponse qui sera bien plus grande que la requête effectuée au préalable en elle-même. Soixante octets de requête en moyenne contre environ trois cent trente octets de réponse, le rapport de force est largement en faveur des attaquants, à savoir les propriétaires de réseaux de type Botnet ( lien ), d’autant plus si l’on prend en considération le facteur d’amplification que chaque serveur DNS supplémentaire utilisé représente.

L’identification des machines « zombies », constituant ces réseaux de Botnet, et les mesures restrictives de filtrage qui pourraient y être associées sont par ailleurs complexifiées dans leur mise en place de par le fait que les adresses IP source, utilisées pour effectuer ces requêtes illégitimes, n’appartiennent pas directement à ces réseaux malveillants, mais bien à la victime ciblée qui se trouve en terminaison de l’attaque DDoS. Les victimes de ces attaques sont de plus ici multiples puisqu'aussi bien les serveurs DNS, qui sont interrogés par ces requêtes, que les victimes finales, dont l’adresse IP a été usurpée et qui vont recevoir les réponses en conséquence, vont ainsi être impactés.

Les serveurs DNS, qu’ils acceptent ou non de répondre positivement à ces requêtes, doivent ainsi gérer le traitement de la multitude de requêtes simultanées qui leur sont destinées. Lorsque ces serveurs acceptent de répondre favorablement à ces requêtes usurpées, les effets de bord sur le traitement efficace des requêtes légitimes sont d'autant plus visibles que la taille des réponses à émettre est importante. Les victimes de l’usurpation voient quant à elles finalement arriver un grand nombre de ces réponses, non sollicitées et de grande taille, avec les conséquences que cela peut avoir sur la bonne gestion de leur trafic habituel et légitime ( principe du Flooding - lien ).

Des attaques similaires ont déjà pu être observées ( lien ) par le passé avec par exemple l’envoi de multiples requêtes TXT usurpées qui impliquaient là aussi des réponses de grande taille. Les serveurs DNS racine ont eux-aussi ( lien ) déjà été la cible d’attaques DDoS ; afin d’y répondre, la solution Anycast ( lien ) avait été introduite, permettant ainsi à chaque serveur DNS racine de partager son adresse IP entre plusieurs serveurs physiques. Dans ce contexte, chacun d’entre eux se répartit alors le traitement des requêtes DNS en fonction de l’origine géographique de la source tout en prenant en compte la vitesse des routes à emprunter afin de toujours privilégier le choix le plus efficace.

Des solutions sont envisageables afin de contrer les attaques en cours, cependant elles présentent chacune différentes problématiques ( lien ) à prendre en compte. La plus radicale de ces solutions consiste à empêcher le traitement des requêtes extérieures par les serveurs DNS qui sont utilisés pour amplifier l’attaque DDoS, c’est cette solution qui semble préconisée à l’heure actuelle par la plupart des acteurs. Une autre solution pourrait être de privilégier à l’avenir la généralisation, chez les fournisseurs d’accès, de technologies de concordance permettant d’empêcher l’usurpation des adresses IP des victimes finales.

Implémentés directement entre le fournisseur d’accès et l’infrastructure de l’utilisateur, ces dernières devront cependant prendre en compte la nature dynamique de certaines adresses IP qui sont associées de façon temporaire à différents types de connexion (xDSL, Dial-up, câble), ainsi que le fait que certains utilisateurs souhaitent utiliser des connexions différentes de manière conjointe. La mise en place du genre de filtres, que cela nécessiterait, restent encore peu triviale à l'heure actuelle et cela de par le fait que les équipements réseau en place ne semblent pas être en mesure de supporter les contraintes que le nombre important de cas particuliers impose.

Source : ISC SANS ( lien )