Voici un document de 8 pages présentant le fonctionnement des services DNS mais aussi les types d'attaques via ce moyen. Florian Magnat (document Infoblox)

1. LIVRE BLANC
Guide à l’attention des
cybercriminels : comment exploiter
le DNS par plaisir et appât du gain ?

2. LIVRE BLANC Guide à l’attention des cybercriminels : comment exploiter le
DNS par plaisir et appât du gain ?
1
Sans DNS, Internet ne pourrait pas fonctionner correctement
Une nouvelle qui ne peut que vous réjouir !
Tous ceux qui disposent d’une connexion en ligne se contentent généralement
d’utiliser Internet pour des applications « traditionnelles », c’est-à-dire pour envoyer
des courriers électroniques, visualiser des vidéos, acheter des livres et des vêtements
ou rester en contact avec leur famille et leurs amis. Mais pour vous, fine fleur de
la cybercriminalité, pirates mal intentionnés et autres super-utilisateurs d’Internet,
le Web recèle bien d’autres trésors. Pour vous, Internet n’est rien d’autre qu’une
vaste collection de vulnérabilités et de failles dont il faut profiter au maximum.
C’est pour cette raison que les cybercriminels, spécialistes du Web, doivent comprendre
ce qu’est le DNS (Domain Name System). Le protocole DNS constitue le nec plus
ultra dans ce que l’on pourrait appeler la « capacité d’exploitation des vulnérabilités
du Web ». C’est à lui que les meilleurs et les plus brillants, sans parler des meilleurs
et des plus mal intentionnés, consacrent leur temps.
Alors que d’autres formes d’exploitation des vulnérabilités ont été abandonnées
suite à une forte « prise de conscience », entre autres, des éditeurs de logiciels de
sécurité, les attaques exploitant le DNS sont en nette hausse, plus de 200 % entre
2012 et 2013 d’après une étude. Du jamais vu ! Le protocole DNS est désormais le
deuxième vecteur d’attaque Internet derrière le vénérable HTTP.
Qui doit apprendre à connaître le DNS ? Toute personne cherchant à déclencher une
forme d’attaque par déni de service ou à détourner un trafic Web du serveur d’origine
vers un serveur sous son contrôle. Autrement dit, vous si :
• Vous êtes un homme ou une femme d’affaires pragmatique et impitoyable
cherchant à remporter rapidement des parts de marché en ralentissant,
ou neutralisant, le site Web de votre ou vos concurrents.
• Vous êtes membre d’un collectif comme les Anonymous et êtes prêt à combattre
une injustice relayée par un canal IRC en désactivant les sites Web des
entreprises ou institutions mentionnées dans l’annonce.
• Vous venez d’être licencié et voulez montrer à votre ancien employeur à quel
point il a eu tort en « causant quelques désagréments » sur son site Web.
• Vous cherchez à arrondir vos fins de mois en essayant de soutirer des milliers
de dollars aux entreprises pour remettre leurs sites Web en service.
Ce guide explique dans les grandes lignes comment utiliser un DNS à votre avantage.
Par souci de concision, nous avons volontairement omis la plupart des détails techniques.
Si un point vous échappe ou si vous avez besoin d’instructions détaillées pour lancer
certaines attaques DNS spécifiques, n’ayez aucune crainte. Vous trouverez des guides
très détaillés sur Internet ainsi que des forums et des sites de communauté très utiles,
facilement accessibles via un moteur de recherche.
Remarque d’Infoblox : Bien évidemment, vous l’avez compris, nous avons choisi de traiter avec humour une
réalité très préoccupante qui touche toutes les entreprises ayant des activités en ligne : le lancement de plus
en plus fréquent d’attaques DNS par les cybercriminels. Il va de soi qu’Infoblox n’a nullement l’intention de
soutenir ni d’encourager la cybercriminalité. Bien au contraire, notre société fait tout son possible pour aider les
entreprises à se protéger contre les menaces exploitant le DNS. Ce livre blanc ne contient aucune information sur
les exploits DNS qui n’ait pas déjà été largement couverte par la presse généraliste et spécialisée. Nous tenons
à préciser que, bien que toutes les informations techniques fournies dans ce livre blanc soient exactes, elles ne
suffisent pas à aider un véritable escroc à déclencher réellement l’une des attaques DNS que nous décrivons.

3. 2
Le DNS est le « service des renseignements » d’Internet
En quoi peut-il vous être utile ?
Vous vous souvenez sûrement du « service des renseignements téléphoniques »
lorsqu’il était centralisé et assuré par l’opérateur historique ? Pensez au chaos que
vous auriez pu semer si vous en aviez pris le contrôle. Vous auriez pu, par exemple,
donner volontairement un numéro de téléphone bidon (le vôtre par exemple) à tous
ceux qui recherchaient le numéro de l’un de vos concurrents.Vous auriez pu demander
à tous les opérateurs du 12 de donner à tout le monde le même numéro, quel que
soit le numéro demandé. Cette ligne de téléphone aurait fait l’objet de tellement
d’« erreurs » qu’elle aurait finalement été considérée en dérangement et désactivée.
Vous pouvez faire à peu près la même chose avec le DNS (Domain Name System).
C’est au serveur DNS de fournir l’adresse IP (Internet Protocol) numérique d’un
serveur à quelqu’un qui ne connaît que le nom de domaine du serveur. Cela équivaut
à rechercher un numéro de téléphone. Mais, le réseau Internet est bien trop vaste
pour qu’un seul serveur DNS suffise à répondre aux besoins de tous les utilisateurs.
En fait, les fonctions DNS sont assurées par des centaines de milliers d’ordinateurs
dédiés dans le monde. Les machines fonctionnent de manière collaborative et
décentralisée, ce qui est chose courante sur Internet. Si un serveur DNS ne sait
pas répondre à une requête (autrement dit, s’il ne connaît pas l’adresse IP associée
à une adresse Web particulière), il interroge un autre serveur DNS en utilisant des
protocoles établis.
Il existe plusieurs sortes de serveurs DNS. Certains répondront à toutes les requêtes
quelle qu’en soit l’origine ; d’autres ne communiqueront qu’avec un petit nombre
d’autres machines. Certains de ces serveurs sont des équipements haut de gamme
opérés par des fournisseurs d’accès Internet (FAI) de renom. Mais des milliers
d’autres sont gérés par les entreprises pour leurs opérations en ligne. Et, comme
pour bien d’autres choses sur le Web, certains de ces serveurs seront moins bien
gérés que d’autres et donc plus faciles à exploiter par vous-même et vos amis.
Ce qui est très intéressant avec le DNS, c’est que vous n’avez pas à vous préoccuper
des détails relatifs à la sécurité du site Web que vous ciblez. Pour certains exploits DNS,
vous pouvez être amené à travailler avec des serveurs avec lesquels votre cible n’a
aucun lien et dont elle ne connaît vraisemblablement même pas l’existence. Votre
agence bancaire locale aura beau avoir le site le mieux protégé d’Internet, si vous
arrivez à demander à un serveur DNS quelconque de rediriger le trafic « légitime »
de la banque vers votre ordinateur, tous les mécanismes de sécurité de la banque
ne serviront à rien ! Mieux encore, dans la mesure où l’exploit intervient ailleurs sur
Internet, sur des serveurs que votre banque ne contrôle pas, il faudra du temps et
bien des efforts pour suivre et neutraliser votre attaque. Dans bien des cas, vous
pourrez pendant des jours, voire des semaines, faire ce que vous voudrez des
utilisateurs cherchant à accéder aux serveurs que vous avez ciblés.

4. LIVRE BLANC Guide à l’attention des cybercriminels : comment exploiter le
DNS par plaisir et appât du gain ?
3
Revenons à la réalité !
Quelques attaques DNS réelles qui ont fait la une des journaux.
À ce stade, vous vous dites peut-être que « tout cela est trop beau pour être vrai »
et vous vous demandez si cela fonctionne. La réponse est un oui franc et massif !
Il suffit de penser aux récentes attaques DNS menées par des personnes qui vous
ressemblent.
• Google a constaté qu’au Moyen-Orient l’une de ses pages d’accueil avait été
détournée non pas du fait de la corruption de l’un de ses serveurs mais bien d’une
manipulation astucieuse du DNS. Les visiteurs de la page Google des Territoires
palestiniens ont vu s’afficher un grand nombre de messages irrévérencieux
comme « Écoutez Rihanna et restez cool ».
• Au cours des derniers mois, les sites du New York Times et du Washington Post
ont tous deux été inaccessibles suite à une attaque DNS. L’affaire du New York
Times montre à quel point cela est facile. Le journal utilisait un service DNS
commercial australien, nommé Melbourne IT. Cette société compte à son tour des
centaines de revendeurs. Quelqu’un a réussi à accéder au nom d’utilisateur et au
mot de passe de l’un de ces revendeurs, s’est connecté au système de Melbourne
IT et a pu modifier à sa guise les informations DNS du New York Times. Dans le
cas de ces deux journaux, un groupe prétendument nommé « Armée électronique
syrienne » a revendiqué cette action. Mais, personne ne sait vraiment si cette
« Armée » existe ou s’il s’agit d’un utilisateur lambda comme vous.
• Spamhaus est un organisme international qui gère une liste des serveurs de
messagerie connus pour diffuser massivement des courriers indésirables.
Quasiment toutes les technologies anti-spam consultent la base de données de
Spamhaus, souvent toutes les heures. Le site de Spamhaus est resté inaccessible
pendant plusieurs jours, le temps que dure l’attaque DNS par déni de service
utilisant la technique dite d’« amplification du DNS ». Suite à l’attaque, les serveurs
de Spamhaus ont dû faire face à des flux de données de 300 gigabits par
seconde–flux bien supérieurs à ce que la plupart des serveurs, sont capables de
prendre en charge. On pourrait croire que générer une telle quantité de données
serait difficile et demanderait, disons, un réseau d’ordinateurs zombies réunissant
des milliers de machines. Pas du tout ! Grâce à la conception même du système DNS,
cela peut s’avérer enfantin, comme nous allons le voir ci-dessous.
• Les techniques qui ont été utilisées pour l’attaque de Spamhaus sont également
utilisées contre les banques et les institutions financières. De grandes banques
américaines ont assisté à la défaillance de leurs sites Web suite à la saturation de
leurs serveurs DNS. Dans certains cas, les attaques ont coïncidé avec la période
à laquelle a lieu la majorité des mouvements de fonds. Ce fut le cas pour la Bank
of the West de San Francisco en 2013 qui a connu une perte de près d’un million
de dollars. Ces établissements restent discrets sur ces événements, mais nous
savons que le danger est réel. Le Ministère de la Justice américain vient d’accorder
aux principales institutions financières américaines une dérogation à la loi antitrust
pour qu’elles puissent s’unir et partager des informations techniques dans le but
d’aider le FBI à mettre un terme aux attaques DNS.

5. 4
Au cœur de l’action
Des attaques DNS sur mesure, intenses et personnalisées.
Les attaques DNS revêtent une dizaine de formes. De nouveaux types font sans
cesse leur apparition et les attaques traditionnelles se perfectionnent pour préserver
ou accroître leur efficacité. Il serait bien trop long de passer en revue la liste complète
des menaces ; nous nous contenterons donc d’un aperçu des menaces les plus
courantes. Souvenez-vous que ces attaques ont toutes pour but soit de rediriger
un trafic Internet « légitime » vers des serveurs dont vous avez le contrôle, soit
de saturer les serveurs par un volume impressionnant de trafic afin de provoquer
la défaillance des sites Web de vos cibles. Les étapes à suivre ne dépendent que
de votre imagination et de votre esprit d’entreprise.
Empoisonnement de cache
L’empoisonnement du cache revient à demander à un opérateur du service des
renseignements téléphoniques de donner les numéros que vous avez choisis plutôt
que les numéros corrects. C’est l’une des attaques DNS les plus répandues et la
technologie sous-jacente mérite bien le nom explicite qu’elle porte. Comme pour tous
les autres exploits DNS, de nouvelles méthodes d’empoisonnement du cache sont
réinventées en permanence.
N’oubliez pas que le rôle d’un serveur DNS est d’établir une correspondance entre un
nom de site Web et l’adresse IP d’un serveur spécifique. En cas d’empoisonnement
du cache, vous substituez simplement l’adresse IP réelle du site Web par une adresse IP
de votre choix - généralement celle d’un serveur dont vous avez un parfait contrôle.
Vous pouvez concevoir la page « factice » à votre guise. Elle peut véhiculer un
message que vous jugez important ou, avec un peu plus de travail, ressembler à s’y
méprendre à la page d’accueil d’une banque par exemple, dans le but de soutirer un
nom d’utilisateur et un mot de passe que, bien sûr, vous vous empresserez de recueillir.
L’empoisonnement du cache est un parfait exemple de la façon dont les exploits DNS
se sont perfectionnés au fil du temps pour échapper aux systèmes de détection
mis progressivement en place par les entreprises. Ces exploits n’en deviennent
que plus dangereux.
Ils profitent du fait que toutes les paires DNS-IP sont temporaires. L’association d’une
certaine adresse de serveur IP à un domaine particulier peut ne durer que quelques
minutes, délai après lequel un nouvel appariement a lieu. (Cela s’appelle la « durée de
vie » ou TTL (Time To Live) d’un nom de domaine. Les sites Web utilisent cet intervalle
de temps pour équilibrer le débit du trafic au cours de la journée, en déplaçant les
visiteurs d’une banque de serveurs à une autre au rythme de la demande.) Autrement
dit, chaque serveur DNS interroge à intervalles réguliers d’autres serveurs DNS,
même pour les sites les plus courants.
Les protocoles DNS permettent à un serveur désirant empoisonner le cache d’un
autre serveur, de demander la durée de vie restante d’une paire nom de domaine-IP
particulière. Le serveur attaquant peut ensuite envoyer au moment opportun des
mises à jour au serveur contenant la nouvelle adresse IP factice.
Il y a une certaine part de chance dans le bon déroulement de la transaction. Par
exemple, des demandes DNS légitimes génèrent un « ID de message » à 16 bits lors
de l’envoi d’une requête. Lorsque le serveur répond, il doit inclure le même numéro.
Du coup, toute tentative d’empoisonnement du cache devenait ardue jusqu’au jour
où il a été découvert une faille technique dans le générateur de numéros aléatoires
qui créait les ID de message. Les numéros devenaient soudainement beaucoup plus
faciles à prévoir.

6. LIVRE BLANC Guide à l’attention des cybercriminels : comment exploiter le
DNS par plaisir et appât du gain ?
5
Pour réussir, une tentative d’empoisonnement de cache réalise deux actions. Elle
change la paire domaine-IP à l’intérieur de la machine de sorte que les utilisateurs
sont dirigés vers un système Web contrôlé par l’auteur de l’exploit. De plus, elle
réinitialise la durée de vie (TTL) du nom de domaine, quelquefois de quelques minutes
à plusieurs années, pour conserver l’information factice le plus longtemps possible.
Il est essentiel de comprendre que l’« empoisonnement du cache » n’est pas un
exploit isolé, mais toute une série de manœuvres qui évoluent au cours des ans
grâce au perfectionnement de nouvelles techniques. Certaines sont plus simples que
d’autres à anticiper et à vaincre. L’une des toutes nouvelles méthodes, nommée la
« vulnérabilité Kaminski » est extrêmement difficile à contrecarrer. Alors qu’elle a été
découverte en 2008, certains serveurs DNS ne sont toujours pas protégés contre ce
type d’attaques.
Attaques DNS par amplification et réflexion
Comme pour tout dans la vie, il existe deux manières de mettre en œuvre une attaque
par déni de service : la méthode longue et la méthode rapide. La méthode longue
consiste, par exemple, à assembler minutieusement un énorme réseau d’ordinateurs
« infectés », puis à faire en sorte que chacun de ces ordinateurs envoie du trafic au
site Web visé.
La méthode rapide, quant à elle, consiste à laisser les DNS travailler à votre place.
C’est ce qui se passe en cas d’attaque DNS par amplification et réflexion.
Dans une demande DNS « normale », les utilisateurs communiquent deux informations
à un serveur DNS : le nom du serveur Web dont ils souhaitent obtenir l’adresse
et l’adresse IP à laquelle les informations doivent être envoyées (bien entendu, il
s’agit normalement de l’adresse IP de l’utilisateur). Lors d’une attaque DNS par
amplification, des modifications sont apportées à ces deux éléments. Bien que les
modifications soient minimes, les conséquences sont spectaculaires.
Les protocoles DNS permettent de recourir à un serveur DNS pour différents types
de requêtes. La plus répandue de ces requêtes est de loin une requête de type « A »,
lorsque vous voulez connaître l’adresse IP associée à un nom de domaine Web.
Il s’agit généralement de quelques octets d’informations. Mais, il existe une requête
de type « ANY », qui demande au serveur DNS de remonter toutes les informations
dont il dispose sur un nom de domaine (ses clés cryptographiques et ses signatures
de sécurité, par exemple). Si les requêtes ANY sont minuscules par elles-mêmes,
généralement moins de 50 octets, la charge utile qu’elles génèrent en réponse peut
être énorme, de l’ordre de 4 000 octets.
L’utilisation (ou plus précisément l’« abus ») de la requête ANY est la clé des
attaques DNS par amplification. Vous créez simplement une requête ANY qui demande
à ce que la réponse ne parvienne pas à l’ordinateur qui a émis la demande initiale,
mais au serveur Web dont vous voulez rendre le service inaccessible. Cela est aussi
facile que d’envoyer un courrier postal mentionnant une fausse adresse d’expédition.
Le protocole DNS ne fait rien pour vérifier cette « adresse de retour » avant de répondre.
Le piège se resserre. Vous avez obligé le serveur DNS d’une part à envoyer
beaucoup plus d’informations dans la réponse qu’il ne le fait habituellement,
et d’autre part à transmettre toutes ces données à un autre site Web. Faisons un
peu de maths pour mieux appréhender l’étendue des dégâts que peut provoquer
cette combinaison. Un ordinateur doté d’une connexion sortante de 2 mégabits par
secondes (Mbps) – soit la capacité de bande passante dont disposent aujourd’hui
quasiment tous les détenteurs d’une ligne Internet haut débit ou câble – peut envoyer
près de 6 000 requêtes DNS par seconde, générant ainsi un tsunami de 200 Mbps
au niveau de l’ordinateur ciblé. Avec cinq machines seulement, vous atteignez déjà

7. LIVRE BLANC Guide à l’attention des cybercriminels : comment exploiter le
DNS par plaisir et appât du gain ?
6
un gigaoctet de données. Imaginez ce que pourrait faire un réseau d’ordinateurs
zombies. C’est là l’une des raisons pour lesquelles les attaques par déni de service
(DDos) d’une amplitude de centaines de gigabits par seconde sont devenues
monnaie courante. Merci, le DNS !
Et ce n’est pas tout !
Rappelez-vous ! Nous avons choisi de n’évoquer que les vulnérabilités DNS les plus
connues. Il y en a bien d’autres, affublées de noms barbares comme « tunneling »,
« détournement » et « saturation ». En outre, de nouvelles menaces font leur
apparition, jour après jour. Leurs mécanismes internes ont beau être différents,
ces attaques partagent un même objectif : s’emparer d’une partie vitale, mais fragile,
d’Internet pour la mettre au service du mal plutôt que du bien.
Un autre élément joue en faveur du cybercriminel novice que vous êtes : l’inertie de
l’informatique. Les plus grandes victimes des attaques DNS sont généralement des
ordinateurs mal protégés, voire pas du tout. La raison en est simple. Comme tout ce
qui a trait aux ordinateurs, les serveurs DNS exigent une armada de logiciels. Un
seul programme de serveur de noms se compose d’environ 50 000 lignes de code.
Si ces logiciels sont plus compacts que les millions de lignes de code d’un système
d’exploitation PC, ils n’en demeurent pas moins complexes. Rien d’étonnant à ce que
des bogues ou des problèmes techniques finissent par s’y glisser, surtout lorsque l’on
sait que la construction du système DNS s’est étalée sur plusieurs dizaines d’années.
Prenons un seul exemple. Un chercheur a récemment découvert qu’un serveur DNS
n’était pas en mesure d’activer correctement une fonction de randomisation pourtant
indispensable à la protection de l’intégrité d’une demande DNS. Ce problème technique
a permis de remplir très facilement le serveur de mauvaises données et a fait grand
bruit au sein de la communauté informatique. Des études ont par ailleurs révélé que,
bien après la découverte du bogue, plus d’un quart des machines DNS n’avait pas
été doté du correctif.
Les cybercriminels de votre trempe ont donc largement le temps de lancer leurs
attaques. Et si jamais une fenêtre de vulnérabilité particulière se refermait, faites
preuve de patience. Il ne se passera pas longtemps avant qu’une nouvelle ne s’ouvre.
Pour finir
Vous devez avoir compris maintenant que les attaques DNS sont relativement
simples à mener et qu’elles vous donnent de super pouvoirs pour neutraliser les
sites Web que vous ciblez. Les attaques DNS évoluent à une vitesse fulgurante.
Les technologies à la mode aujourd’hui risquent de ne plus être efficaces demain.
Mais, ce n’est pas une raison pour laisser passer votre chance. Il est toujours
possible que des produits de « sécurité » performants réduisent, ou anéantissent
définitivement, les attaques exploitant le DNS. Mais, en attendant, sachez que vous
vivez à une époque considérée comme l’Âge d’or des attaques DNS. N’est-il pas
temps de vivre vos rêves ?

8. SIÈGE SOCIAL :
3111 Coronado Drive
Santa Clara
California 95054
USA
+1.408.986.4000
+1.866.463.6256
(sans frais pour les États-Unis et le Canada)
info@infoblox.com
www.infoblox.com
SIÈGE FRANCE :
Regus Business Center
168 avenue charles de Gaulle
92522 Neuilly sur Seine
France
+33.1.70.37.53.05
emea-seur@infoblox.com
www.infoblox.fr
© 2014 Infoblox Inc. Tous droits réservés. infoblox-whitepaper-cybercriminal-guide-exploiting-DNS-Jan2014