DNS :

types
dattaques
et
techniques
de
scurisation
Prsentation du DNS
(Domain Name System)
Les grands types
dattaques visant le
DNS et les noms de
domaine
Les principales
techniques de
scurisation

Le DNS (Domain Name System),

un lment essentiel de
linfrastructure Internet
LInternet est aujourdhui critique pour lconomie
comme pour la vie de notre socit. Il repose sur une
infrastructure trs rpartie et opre par des acteurs
divers : fournisseurs daccs, points dchange et
dinterconnexion, oprateurs de tlcommunications,
hbergeurs, bureaux denregistrement Ces acteurs
apportent chacun une contribution essentielle au
fonctionnement de lInternet, et chacun est sujet des
menaces spciques.
Parmi ces lments essentiels de lInternet ; le DNS
ou Domain Name System . Derrire cet acronyme
se cache en effet un ensemble dinfrastructures
techniques, logiciels et quipements, ncessaires au
bon fonctionnement des noms de domaine permettant
notamment daccder un site web ou dchanger des
messages lectroniques.
Ce dispositif particulirement robuste fonctionne
sans problmes majeurs depuis les annes 80. Il reste
nanmoins vulnrable par certains aspects lis sa
conception, au dveloppement de formes nouvelles
dattaques et lexistence de vulnrabilits connues.
Ce dossier thmatique prsente de manire synthtique
les enjeux lis au bon fonctionnement du DNS, les
types dattaques les plus frquents et les principales
techniques employes pour y faire face.

DNS: types dattaques et techniques de scurisation

1/8

Copyright AFNIC 2009 - Juin 2009

Reproduction des contenus rdactionnels autorise
sous rserve de mentionner la source : www.afnic.fr

I Prsentation du DNS (Domain Name System)

I.1 Une structure arborescente
Le DNS est organis sous la forme dune arborescence inverse, avec une racine dont
dpendent les diffrentes branches . Au premier niveau de larborescence se trouvent les
Top-Level Domains ou domaines de premier niveau, comme les .fr, .com etc. Au second
niveau, nous avons les noms de domaine classiques comme afnic.fr .
Fonctionnant comme une base de donnes distribue sur des millions de machines, le DNS
repose sur des interactions entre ces machines permettant didentier celle qui est la plus
susceptible de pouvoir rpondre la requte dun internaute.
1

Utilisateur

Rsolveur

www.wikipedia.fr ?

www.wikipedia.fr ?

fr

ww serveur wikipedia.fr
w.w
iki
pe
dia
.fr
74
?
. 12
3
5 .3
9 .9
9
wikipedia.fr

74.125.39.99

AFNIC 2009 www.afnic.fr

Dans lexemple ci-dessus, lutilisateur veut se

connecter au site http://www.wikipedia.fr. Il
envoie sa requte via son navigateur. Celleci est reue par un serveur dit rsolveur
qui a pour premire mission didentier la
machine sur laquelle est install le nom de
domaine wikipedia.fr. Le rsolveur sadresse
dabord la racine du DNS (matrialise
par un point seul), qui lui indique quels
sont les serveurs faisant autorit (cest-dire comptents) pour .fr puisque le nom
de domaine est en .fr. Dans un second
temps, les serveurs du .fr indiquent leur

r?
ia.f
d
e
p
iki
fr
.w
eur
w
v
r
w
se
w

tour au rsolveur que le nom de domaine

wikipedia.fr est hberg sur tel serveur. Celuici est alors en mesure dindiquer au navigateur
ladresse IP du serveur web hbergeant les
contenus du site web www.wikipedia.fr.
Ce schma est vrai quel que soit le site web
auquel on souhaite accder, et quelle que
soit ladresse lectronique laquelle on
souhaite crire. Aussi la scurit du DNS et
la connaissance des attaques pouvant nuire
son fonctionnement sont-elles des enjeux
pour tous les utilisateurs de lInternet.

DNS: types dattaques et techniques de scurisation

2/8

Copyright AFNIC 2009 - Juin 2009

Reproduction des contenus rdactionnels autorise
sous rserve de mentionner la source : www.afnic.fr

I.2 Les logiciels

Le DNS fonctionne avec des logiciels spciques, dont certains sont commercialiss et
dautres disponibles en licence libre. Le plus utilis de tous est BIND, dvelopp et maintenu
par lInternet Systems Consortium (ISC). LAFNIC et dautres registres se sont engags
soutenir le projet de dveloppement de la future version de ce logiciel libre, BIND 10.
Dans certains cas, les attaques visent les infrastructures proprement dites, donc les serveurs
sur lesquels sont installs les noms de domaine. Dans dautres cas, les agresseurs cherchent
exploiter les possibilits offertes par les logiciels pour crer des situations anormales dont
ils esprent tirer prot. Les stratgies peuvent tre subtiles, mais reposent souvent sur des
schmas relativement bien identis.

II Les grands types dattaques visant le DNS

et les noms de domaine
Les attaques visant les noms de domaine et le DNS sont de plusieurs natures.

II.1 Attaques ne visant pas directement le DNS

Les noms de domaine peuvent faire lobjet dactions reposant plutt sur lexploitation des
procdures administratives que diriges contre les infrastructures ou les serveurs DNS :
le cybersquatting, consistant dposer un nom de domaine en portant volontairement atteinte aux droits dun tiers pour en retirer prot ou pour lui nuire. Il existe
beaucoup de techniques de cybersquatting, lobjectif tant gnralement dusurper
lidentit de la victime et/ou de capter du trac ses dpends ;
le dtournement ou le vol, par lappropriation du nom de domaine (mise
jour du champ titulaire et/ou des contacts) ou sa prise de contrle au plan technique
an de dtourner le trac, en modiant par exemple les serveurs de noms sur lesquels
il est install. Certaines mthodes sont dites sociales , par exemple duper la victime
pour la convaincre de transmettre un mot de passe lattaquant. Dautres sont plus
techniques comme les injections SQL consistant exploiter une faille de scurit dune
application interagissant avec une base de donnes. De telles techniques se focalisent
sur la prise de contrle du nom de domaine via les interfaces de gestion proposes par
les bureaux denregistrement leurs clients titulaires de noms de domaine ou par les
registres leurs bureaux denregistrement.
web

Pour en savoir plus :

www.infoworld.com/t/authentication-and-authorization/
google-blames-dns-insecurity-web-site-defacements-722

DNS: types dattaques et techniques de scurisation

3/8

Copyright AFNIC 2009 - Juin 2009

Reproduction des contenus rdactionnels autorise
sous rserve de mentionner la source : www.afnic.fr

II.2 Attaques visant directement le DNS

Les atteintes aux infrastructures DNS sont essentiellement dordre technique, faisant appel
des stratgies dattaques massives ou de corruption des informations changes entre les
rsolveurs et les serveurs DNS :
lempoisonnement vise intoxiquer le rsolveur pour quil considre que le serveur
pirate est lgitime, en lieu et place du serveur originel. Cette opration permet
notamment de capter et de dtourner les requtes vers un autre site web sans que
les utilisateurs puissent sen rendre compte, avec la cl, le risque de les voir coner
des donnes personnelles en se croyant sur le site lgitime de la victime de lattaque.
La faille Kaminsky dvoile durant lt 2008 fait partie de ce type dattaques par
empoisonnement des rsolveurs DNS ;
le dni de service (Denial of Service ou DoS) a pour objectif de rendre laccs
un service impossible ou trs pnible. Cette attaque peut se faire de manire brutale
(saturation des serveurs par envoi massif de requtes simultanes) ou plus subtile si
lattaquant essaie dpuiser une ressource rare sur le serveur. Les attaques diriges
contre le systme racine du DNS en fvrier 2007 taient typiquement des attaques par
DoS ;
le dni de service distribu (distributed Denial of Service ou dDoS), forme labore
du DoS impliquant plusieurs milliers dordinateurs, en gnral dans le contexte dun
BOTNET ou roBOT NETwork : rseau dordinateurs zombies dont lattaquant se
sert linsu de leurs propritaires grce des programmes malveillants diffuss via des
vers se propageant dune machine lautre ;
la rexion : des milliers de requtes sont envoyes par lattaquant au nom de la
victime. Lorsque les destinataires rpondent, toutes les rponses convergent vers
lmetteur ofciel, dont les infrastructures se trouvent affectes ;
la rexion combine lamplication : si la taille de la rponse est plus
grosse que celle de la question, on dit quil y a amplication. La technique est la mme
que pour la rexion, mais la diffrence de poids entre question et rponses cre un
effet amplicateur. Une variante peut exploiter les mcanismes de protection mis en
place, qui ont besoin de temps pour dcoder les rponses longues avec pour effet
ventuel un ralentissement dans la rsolution des requtes ;
le Fast ux : an de ne pas tre identi, lattaquant peut, en plus de la falsication
de son adresse IP, utiliser cette technique reposant sur la rapidit de la diffusion des
informations de localisation pour masquer lorigine de lattaque. Diverses variantes
existent, comme le Simple ux (changer en permanence ladresse du serveur web), ou
le Double Flux (changer en permanence ladresse du serveur web mais aussi les noms
des serveurs DNS).

DNS: types dattaques et techniques de scurisation

4/8

Copyright AFNIC 2009 - Juin 2009

Reproduction des contenus rdactionnels autorise
sous rserve de mentionner la source : www.afnic.fr

II.3 Un exemple rel : lattaque de fvrier 2007

contre le systme racine
Le graphique ci-contre
met en exergue limpact de lattaque du
6 fvrier 2007 contre
les 13 serveurs sur lesquels repose le systme
racine du DNS.

Requtes sur les serveurs racine

On voit clairement
dans ce graphique
que certains serveurs
sont beaucoup plus
touchs que dautres :
M , L et G
notamment. Ceux-ci
ne forment cependant
quune minorit, fortement impacts entre
10 heures et 16 heures
Source: Root Attack end-user view Matsuzaki Yoshinobu, 2007
http://www.nanog.org/mtg-0706/Presentations/lightning-maz.pdf
avant de revenir progressivement des temps de rsolution plus habituels. Malgr les ressources engages dans
cette attaque, celle-ci ne sest nalement pas rvle critique, la plupart des internautes dans
le monde nayant expriment aucune dgradation du service.
Sil est relativement ais dimpacter le DNS ou la performance dun serveur, il est beaucoup
plus difcile de le faire sur une longue dure et surtout si lon ne veut pas tre repr. Les
infrastructures sont donc conues pour pouvoir supporter des pics dactivit considrables
pendant de brves priodes.
Bien quexpos des attaques, le DNS reste un systme particulirement robuste dans son
ensemble, capable non seulement de supporter des usages de plus en plus intensifs et diversis de lInternet, mais aussi de rsister des attaques massives. Cela nexclut pas pour autant
le recours des mesures destines le protger encore mieux, les dispositifs adopts par
chaque acteur pris isolment pouvant dailleurs savrer beaucoup plus faciles briser que le
systme dans sa globalit. Toute structure prsente sur Internet doit donc sassurer que cette
prsence ne repose pas, sans quelle sen doute, sur des bases trop fragiles.
web

Autre exemple rel :

Attaque contre une banque brsilienne en avril 2009

(le seul cas bien document dune attaque Kaminsky)
www.theregister.co.uk/2009/04/22/bandesco_cache_poisoning_attack/

DNS: types dattaques et techniques de scurisation

5/8

Copyright AFNIC 2009 - Juin 2009

Reproduction des contenus rdactionnels autorise
sous rserve de mentionner la source : www.afnic.fr

III Les principales techniques de scurisation

Chaque acteur prsent sur Internet est un maillon dune chane de valeur o tous sont
interdpendants. Les conseils suivants ne sont donc pas destins une catgorie dacteurs
en particulier mais tous ceux qui participent du fonctionnement du DNS : gestionnaires de
domaines de premier niveau (registre), bureaux denregistrement, entreprises, fournisseurs
daccs
Lobjet de ce dossier nest pas dentrer dans le dtail des actions pouvant ou devant tre
envisages pour garantir un niveau de scurit correct du dispositif DNS dune structure.
Quelques lignes directrices peuvent cependant tre cites :
assurer la meilleure redondance possible, de manire ce quun serveur
affect par une attaque puisse tre remplac en toute transparence par dautres serveurs
disposant des mmes informations mais situs sur dautres rseaux. Cest la raison pour
laquelle les registres de noms de domaine, tel lAFNIC, exigent toujours que chaque
nom de domaine soit install sur au moins deux serveurs de noms. Dautres techniques
plus labores, comme le recours des nuages anycast, permettent daugmenter encore
plus la redondance avec la cl des gains notables en termes de scurisation et de
performances ;
veiller utiliser des versions jour des logiciels DNS, notamment de BIND,
corriges par les patchs appropris, an de ne pas tre vulnrable des attaques
portant sur des failles de scurit dj bien identies ;
assurer une surveillance rgulire de ses serveurs et de leur
conguration, de prfrence depuis plusieurs points de lInternet. Il est souvent
arriv, en raison de la robustesse du DNS, que la panne de serveurs ne soit dtecte
que lorsque le dernier dentre eux tombe en panne. Pour vrier la conguration,
il existe des logiciels libres comme ZoneCheck. Pour assurer la surveillance depuis
lextrieur, lorganisation qui ne souhaite pas dployer une infrastructure spcique
peut faire appel des services commerciaux ou communautaires existants ;
envisager de dployer DNSSEC, protocole de scurisation du DNS par
lauthentication des serveurs, ce systme limitant notamment les attaques par
empoisonnement. La perception de lintrt de DNSSEC a t fortement accrue par
la rvlation de la faille Kaminsky qui a montr comment exploiter efcacement des
vulnrabilits dj connues au plan thorique ;
dnir un Plan de continuit dactivit permettant la victime dune attaque
de poursuivre, ou de reprendre en cas dincident grave, ses activits avec un minimum
dindisponibilit de ses services. Cette prcaution est particulirement essentielle pour
tous ceux qui dpendent dInternet et donc du DNS pour leur chiffre daffaires,
notamment ceux qui proposent des services en ligne leurs clients.

DNS: types dattaques et techniques de scurisation

6/8

Copyright AFNIC 2009 - Juin 2009

Reproduction des contenus rdactionnels autorise
sous rserve de mentionner la source : www.afnic.fr

En
conclusion
La scurit de linfrastructure de lInternet repose sur une rpartition adquate des rles
entre les diffrents acteurs (oprateurs de service, FAI, registres, bureaux denregistrement,
hbergeurs, points dchange, autorits publiques, CERT). La diversit des structures, des
technologies et des approches est lun des principaux gages de la rsilience de lInternet.
Chacun des acteurs de cet cosystme doit ensuite appliquer les principes de base dune
scurit efcace : coordination, communication et coopration, qui constituent
les 3 C . Dans le cas de lInternet, la varit et le nombre des acteurs impliqus soulvent
un d important, tant au plan national quinternational.
Face des menaces volutives et susceptibles de monter en puissance, des rponses isoles
ou non coordonnes risquent de savrer de moins en moins pertinentes. De la mme
manire, la sensibilisation continue des diffrents acteurs aux enjeux de la scurit fait partie
des actions de fond mener.
Les registres Internet se sont fortement mobiliss depuis plusieurs annes sur ces questions,
et nombre dentre eux ont dj mis au point des systmes leur permettant dassurer la
continuit de leur activit mme en cas dincident imprvu et chappant leur contrle. Cette
dmarche est aussi adopte par des prestataires et des clients naux grant leurs propres
infrastructures. Il subsiste nanmoins une marge de progression signicative pour atteindre
une situation o tous les maillons de la chane scurit se seraient parfaitement appropri
la rgle des 3 C .

DNS: types dattaques et techniques de scurisation

7/8

Copyright AFNIC 2009 - Juin 2009

Reproduction des contenus rdactionnels autorise
sous rserve de mentionner la source : www.afnic.fr

web

Pour aller plus loin

DNS Resources Directory, bon annuaire de ressources web concernant le DNS :
www.dns.net/dnsrd/
Les supports de cours de formation de lAFNIC, disponibles sous une licence libre :
www.afnic.fr/doc/formations/supports
Une bonne note de synthse du CERTA :
www.certa.ssi.gouv.fr/site/CERTA-2008-INF-002/
Summary Report du Global DNS Security, Stability, and Resiliency Symposium,
February 3-4, 2009 :
www.gtisc.gatech.edu/pdf/DNS_SSR_Symposium_Summary_Report.pdf

Retrouvez tous les dossiers thmatiques de lAFNIC :

www.afnic.fr/actu/presse/liens-utiles

8/8

Copyright AFNIC 2009 - Juin 2009

Reproduction des contenus rdactionnels autorise
sous rserve de mentionner la source : www.afnic.fr