j'ai compris

[Dr.WoW] [No.16] Attaque d'inondation DNS et défense

publié il y a  2020-4-28 14:25:14 7 0 0 0

Avant de passer aux attaques de couche application, examinons quelques cas d'attaque réels.

Dans la soirée du 19 mai 2009, les services de noms de domaine récursifs dans six provinces de Chine ont été compromis en raison de demandes DNS excessives, et les services de noms de domaine dans d'autres provinces ont également été interrompus, provoquant une panne de réseau pendant une longue période.

Jouons l'attaque. Dans la soirée du 19 mai, certains attaquants ont attaqué le serveur DNS (DNSPod) qui fournissait le service DNS aux serveurs privés d'autres sites Web de jeux. Le trafic d'attaque a dépassé 10 Gbit / s, ce qui a bloqué DNSPod. Cependant, DNSPod a également fourni des services DNS pour les serveurs du lecteur Storm.

Le lecteur Storm dispose d'un processus qui démarre automatiquement lors du démarrage des clients et se connecte automatiquement aux serveurs Storm pour télécharger des publicités ou des mises à jour logicielles. Après le blocage de DNSPod, les noms de domaine des serveurs Storm n'ont pas pu être résolus, mais le processus du lecteur Storm a automatiquement tenté de se connecter aux serveurs. En conséquence, les clients Storm sont devenus accidentellement des zombies qui envoyaient continuellement des requêtes DNS aux serveurs DNS locaux. Le trafic DNS a dépassé 30 Gbit / s et a provoqué l'inondation DNS.

Ensuite, la police a commencé à enquêter sur l'attaque et a attaqué les attaquants le 29 mai. L'enquête a montré que les attaquants étaient des opérateurs de certains serveurs de jeux privés. Les attaquants avaient loué des serveurs pour attaquer d'autres serveurs de jeux ou sites Web privés pour des gains illégaux.

Ce cas d'attaque montre les graves impacts des attaques de la couche application. Ces attaques interrompent nos vies et doivent être évitées. Parlons maintenant de l'attaque et de la défense contre les inondations DNS.

1 mécanisme d'attaque

Commençons par le mécanisme du protocole DNS. Lorsque nous surfons sur Internet, nous entrons les noms de domaine des sites Web que nous voulons visiter. Les noms de domaine sont résolus en adresses IP par des serveurs DNS. Comme le montre la figure 1-1 , lorsque nous visitons www.huawei.com , le client enverra une demande DNS au serveur DNS local. Si le serveur DNS local stocke le mappage entre le nom de domaine et l'adresse IP, il envoie l'adresse IP au client.

Si le serveur DNS local ne trouve pas l'adresse IP, le serveur enverra une demande au serveur DNS de niveau supérieur. Une fois que le serveur DNS de niveau supérieur a découvert l'adresse IP, il envoie l'adresse IP au serveur DNS local, qui à son tour, envoie l'adresse IP au client. Pour réduire le trafic DNS sur Internet, le serveur DNS local met en cache les mappages d'adresse IP de nom de domaine afin que le serveur DNS local n'ait pas besoin de demander des serveurs DNS de niveau supérieur pour honorer les demandes des hôtes.

Figure 1-1 Processus DNS


[Dr.WoW] [No.16] Attaque et défense contre les inondations DNS-1324699-1 

Le déluge DNS consiste à envoyer à un serveur DNS un grand nombre de demandes d'adresses IP de noms de domaine qui n'existent pas pour bloquer le serveur DNS et l'empêcher de gérer les demandes DNS légitimes. Dans le cas d'attaque susmentionné, le serveur DNS (DNSPod) a été bloqué et n'a pas pu résoudre les noms de domaine des serveurs Storm, mais des dizaines de milliers de clients Storm ont continuellement envoyé des demandes DNS aux serveurs DNS locaux, provoquant le déluge DNS.

2 Mesure de défense

DNS prend en charge TCP et UDP. Généralement, UDP est utilisé car le protocole sans connexion est rapide. UDP a également une surcharge plus petite que TCP, ce qui réduit la consommation de ressources sur les serveurs DNS.

Cependant, dans certains cas, vous devez configurer des serveurs DNS pour demander aux clients d'utiliser TCP pour envoyer des demandes. Dans cette situation, lorsque le serveur DNS reçoit une demande d'un client, le serveur répond avec un message avec l'indicateur TC étant défini sur 1, indiquant que le client doit utiliser TCP pour envoyer la demande.

Ce mécanisme peut être utilisé par les pare-feu pour vérifier si la source des requêtes DNS est réelle pour empêcher les attaques par inondation DNS.

Comme le montre la figure 1-2, le pare-feu collecte des statistiques sur les requêtes DNS. Si le nombre de requêtes DNS destinées à une destination atteint le seuil prédéfini pendant une période de temps spécifiée, l'authentification source DNS est déclenchée.

Une fois l'authentification source DNS activée, le pare-feu répond aux demandes DNS au nom du serveur DNS, l'indicateur TC des réponses DNS étant défini sur 1. Cet indicateur indique au client d'utiliser TCP pour envoyer les demandes DNS. Si le pare-feu ne reçoit pas de demande TCP TCP du client, le pare-feu considère le client comme faux. Si le pare-feu reçoit une requête DNS TCP, le pare-feu considère le client comme réel. Ensuite, le pare-feu met en liste blanche l'adresse source du client et considère tous les paquets du client comme légitimes jusqu'à l'expiration de l'entrée de la liste blanche.

Figure 1-2 Authentification source DNS


[Dr.WoW] [No.16] Attaque et défense contre les inondations DNS-1324699-2 

Voyons le processus détaillé à travers les captures d'écran de capture de paquets suivantes.

1.         Le client utilise UDP pour envoyer une demande DNS, comme illustré dans la figure suivante.


[Dr.WoW] [No.16] Attaque et défense contre les inondations DNS-1324699-3

2.         Le pare-feu répond à la demande DNS au nom du serveur DNS, l'indicateur TC de la réponse DNS étant défini sur 1, comme illustré dans la figure suivante. Cet indicateur indique au client d'utiliser TCP pour envoyer les requêtes DNS.


[Dr.WoW] [No.16] Attaque et défense contre les inondations DNS-1324699-4

3.         Après avoir reçu la réponse DNS, le client utilise TCP pour envoyer la demande DNS comme indiqué par le pare-feu, comme illustré dans la figure suivante.


[Dr.WoW] [No.16] Attaque et défense contre les inondations DNS-1324699-5

Cependant, l'authentification source DNS n'est pas une solution unique dans le monde réel car tous les clients ne peuvent pas envoyer de requêtes DNS TCP. Si un client ne peut pas envoyer de demandes DNS TCP, les demandes du client ne peuvent pas être honorées, interrompant les services normaux.

3 commandes

Le tableau 1-1 répertorie les débits des commandes de configuration de défense contre les attaques par inondation DNS sur USG9500 V300R001, par exemple.

Tableau 1-1 Commandes de défense contre les attaques par inondation DNS

Une fonction

Commander

Activez la défense contre les attaques par inondation DNS.

firewall defend dns-flood enable

Configurez les paramètres de défense contre les attaques par inondation DNS.

firewall defend dns-flood interface { interface-type interface-number | all } [ alert-rate alert-rate-number ] [ max-rate max-rate-number ]

 

 

 

Pour afficher la liste de tous les postes techniques du Dr. WoW, cliquez ici .


  • x
  • Standard:

Commentaire

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Communauté de Support de Huawei Entreprise
Communauté de Support de Huawei Entreprise