Sécurité publique Canada
Symbole du gouvernement du Canada
Passer au contenu | Passer aux liens institutionnels

Common menu bar links | Liens de navigation communs

Debut du saut de navigation Accueil > Sécurité nationale > Cybersécurité : une responsabilité commune > Publications sur la cybersécurité > Diffusions analytiques 2009 > AV09-011 : Attaque de déni de service coordonné par amplification des paquets du système DNS

Liens institutionnels

Attaque de déni de service coordonné par amplification des paquets du système DNS

Numéro : AV09-011
Date : 12 février 2009

Objet

Cet avis a pour objet d’attirer votre attention sur une variante récente de l'attaque de déni de service coordonnée par amplification des paquets du système de noms de domaine (DNS) et de vous communiquer des stratégies qui vous permettront d'atténuer les risques.

Évaluation

Le CCRIC a été informé d'une nouvelle variante de l'attaque par amplification des paquets du système DNS. On parle d’une attaque par amplification quand de petits paquets d’information transmis à un service force celui-ci à répondre par des paquets beaucoup plus volumineux destinés à une cible donnée.

Pour diriger le trafic amplifié vers la cible visée, un pirate informatique doit falsifier l’adresse d’origine de la requête, de sorte que toutes les réponses soient renvoyées à la victime. Ce stratagème est bien adapté aux services qui emploient le protocole de datagrammes utilisateurs (UDP). La variante dont il est question ici profite d’une requête DNS qui consiste à demander à un serveur DNS légitime de fournir la liste des serveurs DNS. La réponse est volumineuse, car elle renferme la liste des serveurs des 13 noms racines. Ce type d’attaque ne vise pas uniquement les serveurs DNS récursifs, car il est normal pour les serveurs DNS non récursifs de transmettre la liste des serveurs racines lorsqu’ils en reçoivent la demande ou lorsqu’un domaine inconnu est demandé.

Signalons que les serveurs DNS qui reçoivent la requête ne sont pas eux-mêmes l’objet de l’attaque, mais plutôt mis à profit pour attaquer l’adresse usurpée et causer un déni de service.

Voici ce qui caractérise ce type d’attaque par amplification :

1. Les requêtes DNS sont faites via le protocole UDP, plutôt que le protocole TCP.
2. La requête envoyée au serveur de noms est « . » (un seul point). Un nom de domaine très court, tel que la lettre « a » peut aussi être utilisé.
3. La requête contient une adresse IP usurpée (celle de la cible visée).
4. De petits paquets sont transmis au serveur DNS.
5. Les serveurs DNS envoient un grand nombre de paquets de réponse ayant la même taille.

Produits touchés : 
------------------
Toutes les implantations du système DNS peuvent être touchées.

Mesure suggérée

Le CCRIC recommande l'application des stratégies d'atténuation suivantes :.

D’abord, vérifiez si votre serveur DNS est susceptible d’être employé comme amplificateur. Vous pouvez faire le test sur le site du SANS à l’aide du lien suivant : http://isc1.sans.org/dnstest.html

Solutions pour le système Berkeley Internet Name Domain (BIND)
------------------
1. Désactivez la récursion pour les serveurs de noms faisant autorité au moyen de l’option de configuration globale « recursion no; » de BIND.
2. Pour empêcher BIND de répondre aux requêtes visant une zone ne faisant pas partie de leur domaine d’autorité, donnez à l’option « additional-from-cache » la valeur « no ».
3. L’article cité plus bas donne des solutions permettant de désactiver des requêtes néfastes provenant d’hôtes externes ou inconnus dans différentes configurations de serveur DNS, à savoir :

Une fois les mesures d’atténuation apportées, vérifiez leur efficacité à l’aide du test du système DNS fourni par le SANS.

Références
----------
Comment sécuriser le système DNS BIND – http://www.cymru.com/Documents/secure-bind-template.html
Comment sécuriser le système Microsoft DNS – http://technet.microsoft.com/en-us/library/cc772661.aspx
http://isc.sans.org/diary.html?storyid=5713
http://isc1.sans.org/dnstest.html
http://isc.sans.org/diary.html?storyid=5773
http://www.secureworks.com/research/threats/dns-amplification/?threat=dns-amplification
http://www.pcadvisor.co.uk/news/index.cfm?newsid=110448
http://technet.microsoft.com/en-us/library/cc757965.aspx

Note aux lecteurs

Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) fonctionne au sein de Sécurité publique Canada et collabore avec des partenaires au Canada et ailleurs pour atténuer les cybermenaces pour les réseaux essentiels à l'extérieur du gouvernement fédéral. Il utilise des systèmes permettant d'assurer le bon fonctionnement des infrastructures essentielles du Canada, comme les réseaux électriques et financiers, et conserver les renseignements commerciaux de valeur qui sont à la base de notre prospérité économique. Le CCRIC aide les propriétaires et les exploitants de systèmes d'importance nationale, y compris les infrastructures essentielles, et est chargé de coordonner l'intervention nationale en cas d'incident important de cybersécurité.

Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:

Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca

Date de modification : 2009-02-13
Haut de la page
Haut de la page
Avis importants
Host: WWWDMZ02