A10 Networks : NXNSAttack, une nouvelle attaque DDoS contre les résolveurs DNS récursifs

A10 Networks : NXNSAttack, une nouvelle attaque DDoS contre les résolveurs DNS récursifs

560 420 2SB - Distributeur à valeur ajoutée - Solutions de Cybersécurité

Le but d’un déni de service distribué ou d’une attaque DDoS est d’empêcher un service en ligne de fonctionner correctement en surchargeant un service cible, par exemple un serveur Web, de sorte que les utilisateurs rencontrent des difficultés, voir même une impossibilité de connexion au service cible.
Quel que soit le degré d’une cyberattaque, les conséquences sont une perte de service et une perte de revenus, ce qui est particulièrement problématique pour les sites de commerce ou de service en ligne.

Il est donc essentiel de mettre en place une protection DDoS avant que votre entreprise ne subisse ce type de cyberattaque afin d’assurer la continuité des activités en minimisant les risques.

Mais le plus embarrassant à propos des attaques DDoS est lorsque vous avez développé votre protection DDoS contre les attaques connues, une nouvelle attaque se déclare.

Tel a été le cas avec NXNSAttack, une attaque DNS DDoS qui repose sur une faiblesse intégrée du système de noms de domaine (DNS).

NXNSAttack, une nouvelle attaque par réflexion

NXNSAttack est un type d’attaque par déni de service appelé «attaque par réflexion».
Les attaques par réflexion utilisent un service tiers pour acheminer le trafic d’ attaque DDoS vers une cible.
L’attaquant envoie des paquets avec une fausse adresse IP source définie sur l’adresse IP de sa victime en demandant, par exemple, l’heure d’un serveur NTP (Network Time Protocol).
Le service tiers agit comme un miroir, envoyant les paquets de réponse à la victime et non à l’attaquant.
S’il y a suffisamment de paquets de réponse, le service de la victime sera ralenti ou même complètement débordé au point de ne plus être accessible du tout.

Lancement d’un assaut NXNSAttack

Pour monter une attaque DNS NXNSAttack, les attaquants doivent avoir accès à un serveur de noms de domaine qu’ils contrôlent et qui fait autorité pour un domaine qu’ils possèdent ; appelons ce domaine attack.com.

Ensuite, les attaquants adressent une requête DNS à un serveur DNS tiers pour l’adresse IP d’un appareil dans un sous-domaine de attack.com, par exemple, sub1.attack.com.

Étant donné que le serveur DNS tiers ne sait rien à propos de attack.com, il envoie une requête au serveur DNS qui est le serveur racine des domaines .com demandant l’adresse IP du serveur DNS faisant autorité pour le domaine attack.com.
Le serveur DNS tiers demande alors au serveur DNS faisant autorité (de l’attaquant) de résoudre l’adresse de sub1.attack.com.

Maintenant, si le serveur DNS d’attaque.com faisant autorité était un serveur DNS normal, il renverrait simplement l’adresse IP d’une machine dans son propre domaine, mais dans ce cas, le serveur DNS d’attaque.com répond efficacement en disant : « Je ne sais pas, demandez à ces serveurs » et fournit une liste de serveurs DNS inexistants dans le domaine qui est cyber-attaqué (nous appellerons ce domaine victim.com).
Ces serveurs DNS inexistants sont répertoriés pour générer simplement des requêtes DNS et le serveur DNS tiers s’éteint obligatoirement et effectue les requêtes.

Le service de noms de domaine et les résolveurs récursifs

Pour optimiser les performances du service, de nombreux serveurs DNS ont été conçus pour être des résolveurs récursifs, c’est-à-dire qu’ils tentent de résoudre l’adresse IP de chaque serveur DNS qui leur est donné afin que les adresses IP puissent être mises en cache et que le serveur n’ait plus jamais à les résoudre.
Ainsi, le serveur DNS tiers demande maintenant au serveur racine .com l’adresse IP du serveur DNS faisant autorité pour victim.com et demande la résolution de chacun des faux serveurs de noms.

Étant donné que tous les noms de serveur DNS fournis par le serveur DNS de l’attaquant sont faux, le serveur DNS tiers finit par marteler le serveur DNS faisant autorité pour victim.com avec des demandes de résolution d’adresse IP, ce qui multiplie le nombre de requêtes DNS par 10 à 20. fois; c’est ce qu’on appelle le facteur d’amplification.
Dans une NXNSAttack à grande échelle, les attaquants utilisent deux étapes de redirection depuis le serveur de noms de l’attaquant pour mettre au carré le nombre de requêtes afin d’obtenir un facteur d’amplification étonnant de 1620.
Le trafic de cyberattaque résultant, créé par seulement quelques ordinateurs peut facilement submerger les serveurs DNS de la victime, rendant leurs systèmes insolubles et refusant ainsi le service.

L’attaque DNS NXNSAttack a été découverte à la mi-mai 2020 par des chercheurs israéliens et certains fournisseurs DNS ont déjà publié des correctifs mais, dans la pratique, des défenses de protection DDoS supplémentaires sont nécessaires pour garantir que les conséquences de ce type de cyberattaque soient minimisées.

Comment A10 peut-il aider à atténuer les attaques DDoS?

Une attaque telle que NXNSAttack peut être écrasante et arrêter votre entreprise dans son élan, mais le Thunder® Threat Protection System (TPS ™) d’ A10 utilise des stratégies de défense avancées qui protègent contre toutes sortes de cyberattaques, y compris les nouvelles attaques DDoS.
Visitez la page de la solution de protection DDoS d’A10 Networks pour en savoir plus.

Pour en savoir plus, téléchargez le rapport complet A10 Networks, Q2 2020: The State of DDoS Weapons , un guide des principales recherches de ports IoT et des recherches de réflecteurs effectuées par des attaquants, ainsi que l’infographie associée, DDoS Weapons & Attack Vectors .

 

Source : A10 Networks

En savoir plus sur les solutions A10 Networks

Contactez-nous
Share
News Cofense : Les phishings se déguisent en factures et volent vos données via des liens de confiances
News A10 Networks : NXNSAttack une nouvelle attaque DDoS contre les résolveurs DNS récursifs

Start Typing