Comment se défendre contre les attaques DNS implacables

Le système de noms de domaine (DNS) est essentiel pour la sécurité de l’infrastructure et active tous les services numériques d’une organisation. Cependant, avec une seule attaque distribuée par déni de service (DDoS), les cybercriminels peuvent rendre le DNS peu fiable, lent ou même inaccessible, affectant négativement l’expérience des services numériques pour les clients ainsi que les employés. Ces attaques épuisent le temps et l’énergie du personnel IT, des administrateurs de la sécurité et des dirigeants qui essaient de maintenir une expérience client exceptionnelle.

Cas Communs qui Consomment Temps et Énergie

Selon le rapport d’Akamai de 2023 sur l’État de l’Internet (SOTI), « Autoroute des Attaques : Une Analyse Approfondie du Trafic DNS Malveillant », les attaques DNS menées par des entités malveillantes qui utilisent des bots et des botnets sophistiqués et distribués sont une préoccupation croissante pour presque toutes les industries.

Un des problèmes majeurs est l’augmentation en taille, fréquence et durée soutenue des attaques malveillantes NXDOMAIN. Un rapport de 2023 du Centre de Coordination de la Cybersécurité du Secteur Santé des États-Unis (HC3) illustre comment les cybercriminels utilisent des attaques NXDOMAIN pour cibler des infrastructures publiques critiques telles que les soins de santé.

Renforce ton DNS contre les Attaques NXDOMAIN

Pour prévenir les attaques NXDOMAIN, ton réseau a besoin d’une capacité suffisante pour gérer de grands volumes de trafic. Cela peut être un défi, car il est souvent difficile de prévoir la taille et la durée d’une augmentation soudaine. Une manière d’accroître la capacité de manière suffisante est d’utiliser des services élastiques avec de grandes quantités de capacité évolutive, comme un service DNS externe.

Une autre clé pour le succès est de s’assurer qu’un système DNS qui gère des inondations de trafic applique des politiques telles que prioriser les requêtes de sources autorisées. C’est crucial, car bloquer des requêtes légitimes avec des approches comme la limitation du taux de réponse DNS peut perturber les services.

Établir une Diversité DNS

Pour atteindre la diversité DNS, les réseaux de mise en œuvre doivent utiliser la technique IP Anycast d’Akamai combinée avec des emplacements globalement divers de serveurs de noms physiques. Les services DNS externes ont besoin de liens de réseau redondants, de colocalisation avec des FAI autour du monde et d’accords d’interconnexion robustes. D’autres méthodes pour créer une diversité DNS incluent :

  • Utiliser de grands centres de données DNS multi-homed : La diversité du réseau peut être aussi importante que la capacité. Les grandes attaques DNS DDoS peuvent submerger les FAI en amont et d’autres réseaux avant d’arriver à un centre de données, causant congestion et coupures de service même si le centre de données reste intact.
  • Placement de serveurs de noms DNS au sein des FAI : Dans de nombreux cas, les grappes de serveurs de noms DNS doivent être directement dans les réseaux des FAI individuels. Ces serveurs de noms transmettent souvent leur trafic IP Anycast seulement à l’intérieur de ces réseaux et résolvent les requêtes DNS uniquement pour les utilisateurs finaux de ces FAI.
  • Déploiement de clients intelligemment à travers la plateforme mondiale : Attribuer des clients à des environnements cloud divers, certains avec des emplacements spécifiques de serveurs des FAI et d’autres avec une variété de machines connectées. Cette architecture assure que les serveurs de noms récursifs d’un client se connectent toujours à un bord DNS rapide.

Utilise des Routes de Réseau Uniques

Le nombre et la conception des délégations DNS et des adresses des serveurs de noms peuvent également avoir un impact sur la diversité. Par exemple, utiliser deux serveurs de délégation offre deux routes de réseau vers les réponses autorisées, tandis qu’utiliser six serveurs de délégation offre six routes de réseau. Chaque adresse de serveur de noms a sa propre route d’acheminement dans des emplacements géographiques séparés. Pour IPv4, cela signifie que chaque adresse de serveur de noms doit

avoir sa propre adresse IP /24.

Mise en Place de Piles Diverses

Diversifier tes mises en place de délégation DNS est une autre manière d’aider à prévenir les attaques DNS. Par exemple, une adresse de délégation peut utiliser un serveur proxy DNS pour protéger les serveurs de noms d’origine, une autre peut utiliser un service DNS autoritatif secondaire pour héberger l’information de zone qu’un serveur de noms d’origine transfère, et une troisième peut utiliser l’application de politiques au niveau du réseau pour ne transférer que le trafic DNS propre et valable à l’origine du client.

Obtiens la Protection DNS d’Akamai

Si tu es préoccupé par la résilience face aux attaques DNS et tu manques de stratégies de défense fortes et fiables, essaie de déployer des services de protection comme un proxy DNS pour protéger les serveurs de noms d’origine ou un service DNS secondaire. Ce faisant, tu élargiras ton flux de travail DNS actuel avec un ensemble supplémentaire de serveurs autoritatifs qui fournissent des réponses de manière durable sur tes zones tout en masquant tes serveurs de noms d’origine aux attaquants malveillants.

Avantages de l’Approche de Défense DNS d’Akamai

  • Amélioration du service client
  • Plus de temps pour se concentrer sur des projets précédemment négligés en raison des efforts continus de protection DNS
  • Meilleur moral des employés, puisque il y a moins d’incidents répétitifs qui consomment du temps personnel et causent de l’épuisement

Akamai Shield NS53, partie de la suite Akamai Edge DNS, aide à protéger les organisations, leurs clients, et employés contre les types hostiles d’attaques DNS. Cette solution d’infrastructure DNS et de protection DDoS offre une sécurité intégrale et une performance inégalée pour rendre rapide et facile de trouver et de remédier aux vulnérabilités DNS sur la plateforme de bord la plus distribuée du monde.

Renforcer l’infrastructure DNS est essentiel pour protéger les services numériques et éviter l’épuisement de l’équipe IT. Mettre en place une diversité DNS et utiliser des services externes élastiques peut fournir la capacité et la résilience nécessaires pour faire face à des attaques implacables comme les NXDOMAIN. Avec les solutions d’Akamai, les organisations peuvent améliorer leur position de sécurité DNS de bout en bout.

À propos des auteurs : Steve Winterfeld est le CISO conseiller d’Akamai. Avant de rejoindre Akamai, il a été directeur de la cybersécurité pour Nordstrom et CISO de Nordstrom Bank. Jim Gilbert est directeur de la gestion des produits chez Akamai, avec plus de dix ans d’expérience dans les services et la technologie DNS.

Source et plus d’informations : Akamai

Scroll al inicio