Des attaques en déni de service ciblant des serveurs DNS ont été portées à notre attention. Une hier et une nouvelle aujourd'hui. Dans chacun des deux cas, un envoi massif de paquets a fortement ralenti voir totalement gelé les serveurs DNS ciblés.
Rien que de très normal me direz-vous ? Effectivement, les attaques de DDoS visant les serveurs DNS c'est LE grand classique..... Alors, si c'est classique pourquoi un article sur le sujet ?
C'est que les coïncidences, il faut s'en méfier : Rappelez-vous que sur Internet, tout va très vite et que les attaquants ne manquent jamais une opportunité.
Alors, en quoi ces deux attaques de DDoS ont-elles une quelconque relation avec les failles DNS qui ont été l'objet de tant d'attention ces derniers jours ? Quelques explications....
Pour exploiter un serveur non encore patché de la faille US-CERT : VU#800113, Multiple DNS implementations vulnerable to cache poisoning, outre le fait que l'attaquant doive prédire les numéros de ports source et le numéro de série de la réponse DNS qu'il souhaite usurper, il doit envoyer sa réponse (ou plus vraisemblablement quelques milliers ou dizaines de milliers de réponses) AVANT celle du serveur autoritaire.
Autrement dit, avec la faille DNS actuelle, un attaquant est à "armes égales" avec le serveur DNS non patché. Pour prendre l'avantage, il lui suffit (et c'est une chose très facile) de ralentir, ou encore mieux de geler, pendant quelques minutes son opposant (le serveur DNS autoritaire) pour "empoisonner" le serveur DNS non patché...
C'est pourquoi les attaques de DDoS ciblant des serveurs DNS sont plus suspectes que d'habitude...
N'hésitez-pas à utiliser les commentaires pour toute question ou demande de précisions !
Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens