Les serveurs DNS sont de plus en plus ciblés par les cybercriminels. Le DNS est le carnet d’adresses d’internet qui convertit les noms en adresses IP pour permettre aux appareils, aux applications et aux services de savoir où envoyer les paquets. D’après NETSCOUT, les attaques de type « water-torture » contre le DNS sont passées d’une moyenne de 144 attaques quotidiennes au début de l’année 2023 à 611 à la fin du mois de juin, soit une augmentation de près de 353 % en l’espace de six mois seulement. L’attaque la plus impactante a impliqué environ 89,4 millions de requêtes par seconde (mqps), soit une augmentation de 51,1 % par rapport à la même période en 2022.
Tribune – Depuis 1997, les cybercriminels lancent des attaques contre les serveurs DNS pour perturber les applications et les appareils. Si le nom d’un site web, d’un service de jeu en ligne ou d’un fournisseur de vidéo en continu ne peut être converti, cela a le même impact qu’une attaque réussie sur le service lui-même. Ceci s’applique également aux composants critiques d’une organisation tels que les serveurs web, les services de collaboration et les concentrateurs VPN. Si les serveurs DNS faisant autorité d’une organisation sont perturbés avec succès, l’ensemble de l’entreprise est virtuellement inaccessible. Malgré cela, les serveurs DNS sont souvent exclus des plans de défense DDoS des entreprises.
Philippe Alcoy, spécialiste de la sécurité chez NETSCOUT, analyse la prolifération des attaques par inondation de requêtes visant les serveurs DNS :
« La plupart des attaques contre les serveurs DNS consistent en un déluge de requêtes visant à surcharger les serveurs afin qu’ils ne puissent plus fournir de services de résolution de noms aux utilisateurs légitimes, et visent n’importe quel type d’élément DNS dans le domaine ciblé. Les plus efficaces impliquent des taux élevés de requêtes par seconde (qps) pour des entrées DNS inexistantes. Non seulement elles mettent directement en cause la capacité des serveurs DNS attaqués à répondre à des requêtes légitimes, mais elles les poussent également à générer des réponses négatives (serveurs DNS faisant autorité) ou à les transmettre (serveurs DNS récursifs), indiquant que les noms de domaine demandés n’existent pas. Cela augmente considérablement la charge des serveurs DNS exposés aux attaques DDoS de type « DNS query flooding » (inondation de requêtes DNS).
Depuis 2009, une méthode particulièrement efficace pour générer des attaques DDoS par inondation de requêtes DNS est de plus en plus observée : les attaques de type « water-torture ». Des étiquettes DNS y sont générées de manière pseudo-aléatoire et ajoutées ou remplacées aux domaines DNS existants. Les attaques par substitution, lesquelles s’appuient sur des dictionnaires d’étiquettes DNS qui semblent plausibles mais qui n’existent pas, sont moins courantes mais peuvent représenter un défi encore plus grand pour les organisations non préparées.
Les secteurs de l’accès haut débit filaire et sans fil, des FAI/cloud/VPS/hébergement/colocation et de l’assurance ont été particulièrement touchés par les attaques par water-torture au cours des six premiers mois de l’année 2023. Les fournisseurs de télécommunications, de traitement des données, d’hébergement et de services connexes, des sociétés d’achat électronique et de vente par correspondance ainsi que des agences d’assurance et bureaux de courtage figurent également parmi les cibles de ces attaques.
La diversité des secteurs ciblés laisse à penser que des cyberattaquants motivés par des considérations idéologiques et des extorqueurs DDoS à la recherche d’un gain financier s’attaquent aux serveurs DNS afin de perturber les propriétés et les activités en ligne des entreprises. La prévalence croissante des services DNS récursifs ouverts, connus comme sources de ces attaques indique que les attaquants tentent intentionnellement d’éviter de faire passer leur trafic à travers les opérateurs de réseau responsables de la sécurité des ressources DNS. Les attaques par « water-torture » qui se reflètent dans ces services sont plus difficiles à atténuer pour les défenseurs, le trafic d’attaque étant mélangé à des requêtes DNS authentiques issues de sources légitimes. Face à cette recrudescence d’attaques, il est impératif que les entreprises veillent à ce que leur infrastructure DNS récursive et faisant autorité soit incluse dans les plans de défense contre les attaques DDoS et fasse l’objet d’audits réguliers. »