Chroniques du Cloud, partie 2 : Prévention et défense contre les attaques DDoS DNS
La sécurité n’est peut-être pas la première considération lorsque l’on considère la manière dont une solution DNS s’intégrera à votre environnement. Après tout, on l’appelle souvent « l’annuaire téléphonique d’Internet » et à quelle fréquence les annuaires téléphoniques et la sécurité sont-ils mentionnés dans la même phrase ? Le DNS est un peu discret, même s’il constitue fondamentalement l’épine dorsale des interactions quotidiennes sur Internet. Peut-être en raison de cette omniprésence, les services DNS sont également fréquemment la cible d’ attaques par déni de service distribué (DDoS) . À mesure que la complexité et la fréquence de ces attaques augmentent, les exigences liées à la défense de cette pierre angulaire de l’infrastructure Internet augmentent également.
Attaques DDoS DNS : Une rose sous un autre nom perturberait toujours la circulation
Que peut-on dire sur les attaques DDoS DNS qui n'a pas déjà été dit ? Ils se déclinent en plusieurs versions et varient en taille, depuis « gênant » jusqu’à « casser Internet » , ou du moins un coin de celui-ci. « DDoS » est un terme générique qui englobe une myriade de types d’attaques de réseau et d’applications qui refusent les services et qui parviennent à s’immiscer dans le trafic d’applications légitimes . Voici quatre des attaques à grande échelle les plus courantes :
Attaques d'amplification et de réflexion DNS transformer le DNS lui-même en une arme, en exploitant la nature ouverte des serveurs DNS pour amplifier le trafic d'attaque, un peu comme crier dans un canyon et utiliser l'écho pour amplifier le son.
Les attaques NXDOMAIN inondent un serveur de requêtes pour des domaines inexistants, créant une cacophonie insidieuse de « mauvais numéros » qui ralentissent le service.
Les attaques de sous-domaines aléatoires posent un problème en demandant une vaste gamme de sous-domaines inexistants, déroutant ainsi les résolveurs DNS.
Les inondations DNS inondent un ou plusieurs serveurs avec un trafic d'apparence légitime, essayant de submerger un système par un volume considérable.
Les attaques DNS Floods, Subdomain, NXDOMAIN et Amplification and Reflection : quelle que soit leur forme, elles cherchent toutes à utiliser un trafic excessif ou irrégulier pour perturber l'accès des utilisateurs légitimes aux applications critiques pour l'entreprise. Ils ne sont pas non plus toujours lancés de manière isolée. En effet, les attaques DDoS DNS peuvent également servir d’ écran de fumée pour masquer d’autres activités malveillantes. Compte tenu de l’existence de ces types d’attaques dans le contexte de la prolifération des transformations numériques, de la prévalence croissante des appareils IoT et de l’expansion de l’accès au réseau 5G, les mauvais acteurs peuvent désormais exploiter plus de technologies et plus de connexions Internet que jamais pour atteindre leurs objectifs néfastes contre les services DNS. Ce qu'il faut faire?
Attaques multi-vectorielles, sécurité multi-vectorielle
Positionner le DNS comme point de départ de la distribution d’applications dans un environnement oblige réellement les équipes à le considérer également comme un point de départ pour la sécurité, même si un service DNS n’est généralement pas considéré comme une solution de sécurité au sens traditionnel du terme.
Il est utile de réfléchir à la sécurité dans le contexte de trois fonctions liées : l’évolutivité, la haute disponibilité et la gestion du trafic malveillant. Toutes ces fonctions jouent un rôle pratique dans l’interaction avec le trafic, garantissant que le bon trafic arrive là où il doit être, sans obstruction.
Évolutivité : Imaginez une infrastructure conçue pour monter automatiquement en charge face à une augmentation rapide du trafic, offrant ainsi aux équipes en charge du service une avance dans la détection des attaques par DDoS. Elle garantit que, même en cas d’attaque volumétrique, les utilisateurs légitimes continuent d’effectuer leurs requêtes DNS avec un minimum de perturbations, à l’image d’un pont qui ajouterait des voies aux heures de pointe pour fluidifier la circulation. La capacité d’un service DNS à s’adapter en charge signifie aussi qu’une brusque montée de trafic, malveillant ou non, n’épuise pas les ressources du backend au point de bloquer le système.
Haute disponibilité : Ajoutez une dimension supplémentaire à la notion d’évolutivité, surtout dans le contexte de la sécurité DNS, et vous comprendrez pourquoi un service DNS doit garantir des résolutions ininterrompues même en cas d’attaque mettant une ressource hors ligne. Lorsque ce service s’appuie sur des points de présence (PoP) répartis dans le monde, ce réseau de serveurs assure une gestion intelligente du trafic en effectuant des basculements transparents vers les ressources dédiées, offrant aux utilisateurs un accès continu et empêchant les attaquants d’identifier et d’exploiter un point unique de défaillance. Autre approche : associer un service DNS cloud à un service DNS sur site, en mettant en place un duo dynamique de défense contre les DDoS, capable de répartir la charge entre les deux ou de désigner l’un comme secours de l’autre.
Gestion du trafic malveillant : Au-delà de l’évolutivité et de la haute disponibilité, vous devez aussi disposer d’un service DNS doté de capacités avancées pour gérer le trafic malveillant. En vous appuyant sur l’analyse en temps réel et l’intelligence sur les menaces, ce service vous aide à repérer et bloquer le trafic malveillant avant qu’il ne cause des dommages. Imaginez un filtre à eau capable de distinguer un flux d’eau propre d’un flux contaminé, ne laissant passer que l’eau claire. Ne laisser passer que le trafic "propre" sur votre réseau libère des ressources : vous détectez en amont le trafic malveillant et le neutralisez avant qu’il n’atteigne sa cible, évitant ainsi qu’elle ait à gérer des paquets indisposants et améliorant la disponibilité de vos applications.
Ces méthodes de sécurité s’articulent autour du problème de l’atténuation du trafic malveillant. Ils grandissent, ils se détournent, ils chutent. Ils se couvrent également mutuellement dans les domaines où une méthode individuelle peut faire défaut. Une haute disponibilité , par exemple, ne signifie pas nécessairement une grande évolutivité (et vice versa). Cependant, le déploiement d’une stratégie de diffusion d’applications qui combine ces trois éléments peut rapidement fournir une ligne de défense solide contre les flux de trafic malveillants.
En pratique, pour garantir une distribution d’applications robuste face à des défis tels que les attaques DDoS, il faut souvent combiner des stratégies et des technologies, telles que la gestion intelligente du trafic, les architectures distribuées et les mécanismes de basculement automatisés. F5 Distributed Cloud DNS peut être la première étape dans le développement de ce type d’environnement pour vos applications distribuées.
Si vous souhaitez en savoir plus sur la manière de procéder, contactez-nous .