Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les services DNS, talon d'Achille des cyber-criminels

Les services DNS, talon d'Achille des cyber-criminels
2010-12-192013-02-11DDoS/Botnetsfr
Le service DNS est devenu l'une des pièces techniques principale dans les activités cyber-criminelles. L'Internet Systems Consortium vient donc de lancer un vaste projet collaboratif, proposant aux opérateurs de services DNS de collecter et d'analyser les requêtes DNS...
Publié le 19 Décembre 2010 par Vincent Maurin dans DDoS/Botnets

Les services "Domain Name System" (ou DNS) sont sans doute parmi les moins connus mais les plus utilisés par les internautes. Ils s'avèrent également très pratiques dans les actions cyber-criminelles.

Permettant d'établir la correspondance entre une adresse IP et un nom de serveur, ces services sont à la base de pratiquement tout envoi de courrier électronique ou toute consultation de sites web.

approche technique

Les différentes techniques liées à l'utilisation des services DNS par les organisations cyber-criminelles vous ont été souvent présentées sur ce blog, notamment dans l'article "Fast-Flux et double Fast-Flux: Techniques de résilience de sites 'douteux'". Qu'il s'agisse des communications entre les Malwares et les serveurs "Command & Control" des Botnets, ou bien encore des artifices utilisés lors d'opérations de Phishing, le protocole DNS est souvent la clé de la réussite pour les attaquants.

En 1995, Florian Weimer présente dans un document intitulé "Passive DNS Replication" les principes d'une méthodologie de collecte et d'analyse des requêtes DNS. Son outil, dnslogger, se positionne comme une sonde passive sur un réseau opérant des serveurs cache DNS.


Passive-DNS-dnslogger.jpgComme le souligne le document, il est nécessaire de positionner la sonde près de cache DNS aux trafics importants ou sur les liens primaires de réseaux hébergeant de nombreux serveurs cache.

approche étendue

Au cours de la conférence DEFCON 18 de l'été 2010, Robert Edmons Edmonds de l'Internet Systems Consortium a présenté une approche plus étendue des travaux précédents : Passive DNS Hardening.

L'analyse n'est plus à présent limitée aux communications entre clients et serveurs cache DNS mais étendue aux communications entres les serveurs cache et les serveurs autoritaires. Les données collectées sont alors analysées et corrélées par le système "Security Information Exchange" puis stockées dans une base de données globale appelée "DNSDB".


Passive-DNS-ISC.pngIllustration Internet Systems Consortium (http://www.isc.org/)

 

approche globale

Début décembre 2010, l'Internet Systems Consortium (consortium public à but non lucratif) a choisi de communiquer sur la mise en œuvre plus globale de ces technologies, au sein d'un projet intitulé "The Global Passive DNS Network".

L'ISC a pour ambition de séduire les organisations possédant des serveurs cache DNS afin d'augmenter la granularité d'analyse de son système. Des paquets logiciels pour plates-formes Linux RedHat et Debian sont mis à disposition et les estimations les plus pessimistes de collecte font état de 1 à 5 Mo de données par minute pour les serveurs les plus chargés.

Une fois interprétées par le système "Security Information Exchange", les données sont stockées au cœur d'un cluster "Passive DNS Database", tel que l'avait présenté Robert Edmonds au DEFCON.

approche collaborative

Un nouveau composant est néanmoins ajouté : une interface web de recherche dans la base DNSDB, dont l'accès est gracieusement offert aux opérateurs participant au projet et hébergeant sur leurs infrastructures des sondes Passive DNS.

Il est ainsi possible à un opérateur d'identifier rapidement les enregistrements DNS suspects, par exemple les enregistrements de type A de domaines différents pointant tous sur une même adresse IP.

conclusion

Opérée par une structure indépendante dont l'engagement auprès de la communauté des développeurs est important, cette initiative mérite d'être soutenue et encouragée.

La restitution des informations auprès des opérateurs souffre encore de quelques lacunes fonctionnelles mais espérons que dans les prochains mois voient le jour des outils plus opérationnels et intégrables à des solutions de filtrage des flux illicites.
 

2 Commentaires

  • 21 Décembre 2010
    2010-12-21
    par
    Selon l'ISC, aucune donnée de type "adresse IP" n'est collectée, assurant ainsi la protection en termes de données personnelles.

    Mais comme vous le faites remarquer, cette affirmation reste quelque peu laconique et ne garantit pas le strict respect du Safe Harbor.

    Pour les lecteurs intéresses, la CNIL propose un document synthétique de présentation du Safe Harbor à l'adresse suivante :
    http://www.cnil.fr/fileadmin/documents/Vos_responsabilites/Transferts/CN...
  • 21 Décembre 2010
    2010-12-21
    par
    Attention, c'est Robert Edmonds et pas Edmons.

    Mais, surtout, vous ne mentionnez absolument pas les problèmes de protection de la vie privée. Je ne pense pas qu'un opérateur français puisse envoyer ses traces DNS en Californie, à un organisme (l'ISC), qui n'est même pas Safe Harbour.

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage