Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

DNS-Blackholing : Utilisation des techniques d'attaques à des fins défensives

DNS-Blackholing : Utilisation des techniques d'attaques à des fins défensives
2008-08-282013-02-11sécurité du poste de travailfr
Le détournement du système de résolution de noms (DNS) est l'une des techniques couramment utilisée par les "malwares/spyware" de tout poil afin de désactiver les fonctions de mises à jours des antivirus ou des correctifs de sécurité. Lors du processus d'infection d'une...
Publié le 28 Août 2008 par Jean-François Audenard dans sécurité du poste de travail

Le détournement du système de résolution de noms (DNS) est l'une des techniques couramment utilisée par les "malwares/spyware" de tout poil afin de désactiver les fonctions de mises à jours des antivirus ou des correctifs de sécurité.

Lors du processus d'infection d'une machine par un malware celui-ci procède à une re-configuration cachée de votre système de deux façon différentes :

  1. Changement des paramètres des serveurs DNS afin que les requêtes soient envoyées vers des serveurs DNS contrôlés par l'attaquant.
  2. Encore plus simplement, modification du fichier "hosts" local à la machine.

Le "DNS-Blackholing" est une technique défensive s'appuyant sur des techniques similaires.

Décryptage.

Les techniques de "Blackholing" (Trou-noir) sont couramment utilisées par les opérateurs télécoms ou ISPs afin de mitiger les effets d'une attaque en déni de service par inondation (DDoS ou Flooding). Ce mécanisme s'appuie sur les fonctions de routage présentes dans tout réseau IP.

Le "DNS-Blackholing" est une technique similaire qui permet d'empêcher les communications à destination de machines identifiées comme étant "malicieuses" ; comme par exemple des serveurs web diffusant des malwares/spywares, des codes d'exploitation ou encore des sites de phishing.

Le principe de fonctionnement du "DNS-Blackholing" est le suivant :

Une requête de résolution DNS pour une machine "douteuse" (par exemple "www.sitemalicieux.com") aura pour réponse une adresse IP autre que celle normalement envoyée par des serveurs DNS "classiques". Cela aura pour conséquence de bloquer la connexion ou de la rediriger vers une une page d'alerte spécifique : La connexion ne sera donc pas établie vers le site "douteux" et l'utilisateur ne sera donc pas exposé à la menace.

Des listes de noms de domaines (ou encore de machines) identifiées comme étant malicieuses sont disponibles sur Internet depuis des sites comme www.malwaredomains.com qui propose des fichiers compatibles avec différents types de serveurs DNS ainsi que le nécessaire pour une configuration locale à un poste (fichier "hosts").

Ce mécanisme de DNS-Blackholing vient compléter les mécanismes de protection que sont les classiques antivirus, antispywares et autres solutions du même acabit.

Les caractéristiques d'un système de "DNS-blackholing" pourraient être résumées ainsi :

  1. Il permet d'empêcher l'exposition des postes/utilisateurs aux sources de menace.
  2. Il a un coût marginal (pas d'acquisition de licences ni de matériel) car s'appuie sur un système pré-existant (le DNS).
  3. Il protège d'un large éventail de menaces (Sites de phishing, de diffusion de malware ou d'exploits, etc...).

Encore un bon exemple que les techniques d'attaques peuvent aussi être utilisées à des fins défensives.

Un retour d'expérience sur ce type de technique est disponible sur le site de BleedingThreats, BlackHole DNS How-To : Plutôt positif. Pour plus de détails sur la mise en œuvre dans des environnements techniques divers et variés, je vous recommande le Black Hole DNS White Paper du site www.malwaredomains.com

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage