Attaque par amplification DNS
Qu'est-ce que Attaque par amplification DNS ?
Attaque par amplification DNSAttaque DDoS par réflexion qui abuse des résolveurs DNS ouverts en envoyant de petites requêtes avec l'IP usurpée de la victime, afin que les résolveurs lui envoient de grandes réponses DNS.
Dans une attaque par amplification DNS, l'adversaire envoie des requêtes DNS UDP (souvent de type ANY, TXT ou DNSSEC, qui produisent de grosses réponses) vers de nombreux résolveurs récursifs ouverts ou mal configurés, en usurpant l'IP source de la victime. Les résolveurs renvoient à la victime des réponses DNS bien plus volumineuses, multipliant la bande passante de l'attaquant par des facteurs souvent supérieurs à 50×. Le trafic agrégé peut saturer le lien de la victime ou celui de son opérateur. Les mitigations incluent la fermeture/restriction des résolveurs ouverts, l'activation du Response Rate Limiting (RRL), la validation des adresses source en bordure (BCP 38), l'usage de DNS anycast et de services de scrubbing, et la limitation des réponses EDNS/DNSSEC trop volumineuses lorsque c'est possible.
● Exemples
- 01
Un attaquant envoie des requêtes ANY à des milliers de résolveurs ouverts ; chaque petite requête déclenche des réponses de plusieurs kilo-octets vers la victime.
- 02
Des botnets dérivés de Mirai abusent de box résidentielles servant de récursifs ouverts pour lancer des inondations DNS de plusieurs centaines de gigabits.
● Questions fréquentes
Qu'est-ce que Attaque par amplification DNS ?
Attaque DDoS par réflexion qui abuse des résolveurs DNS ouverts en envoyant de petites requêtes avec l'IP usurpée de la victime, afin que les résolveurs lui envoient de grandes réponses DNS. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.
Que signifie Attaque par amplification DNS ?
Attaque DDoS par réflexion qui abuse des résolveurs DNS ouverts en envoyant de petites requêtes avec l'IP usurpée de la victime, afin que les résolveurs lui envoient de grandes réponses DNS.
Comment se défendre contre Attaque par amplification DNS ?
Les défenses contre Attaque par amplification DNS combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.