Dave Piscitello, au nom de l’équipe de sécurité d’ICANN
Au cours des dernières semaines, de nombreuses organisations et institutions financières prestigieuses ont été la cible d’attaques massives d’interruption du service. Plusieurs d’entre elles ont des caractéristiques semblables à celles ayant eu lieu en 2006 contre les serveurs des noms de domaine de premier niveau. Le Comité consultatif sur la sécurité et la stabilité de l’ICANN a publié une alerte, SAC008 (PDF, 963 KB) : Attaques décentralisées de déni de service (Distributed Denial of Service Attacks – DDoS) peu après les incidents de 2006. Les recommandations de cette alerte sont toujours pertinentes.
Nous encourageons les organisations privées, les opérateurs de service et les gouvernements à tenir compte des recommandations du SAC008, qui décrivent les moyens les mieux connus pour atténuer les attaques DDoS, et à les appliquer soigneusement.
« les moyens les plus efficaces pour atténuer les effets des… nombreuses attaques DoS consiste à adopter la vérification de la source de l’adresse IP » – SAC008
Les attaques DDoS utilisent en général des adresses IP qui ne sont pas allouées à l’abonné ou des adresses IP de l’espace privé / réservé qui rendent difficile l’identification des sources du trafic de l’attaque. C’est ce que l’on appelle usurpation d’identité de l’adresse IP. Les fournisseurs d’accès ou les entreprises doivent se servir de filtres d’accès au réseau (décrits dans SAC004 et recommandés par le Comité d’architecture Internet (Internet Architecture Board – IAB) dans BCP038) pour prévenir l’usurpation d’identité. Écraser le trafic d’attaque près de sa source a un avantage supplémentaire : cela permet aux fournisseurs d’accès internet de ne pas transmettre le trafic malveillant ou illégal. Tout le monde bénéficie lorsque chaque opérateur filtre les adresses usurpées, à l’exception des attaquants potentiels.
« Documentez les politiques opérationnelles liées aux contre-mesures… pour protéger les infrastructures de (votre) serveur de noms contre des attaques qui menacent (votre) capacité à fournir le service, annoncez la mise en œuvre de telles mesures et identifiez les actions que les parties affectées doivent réaliser pour que ces mesures soient terminées. » – SAC008
J’ai récemment écrit un article, Se préparer pour (l’inévitable) attaque DDoS , qui décrit la manière de développer des politiques et de préparer une réponse au cas où votre organisation ferait l’objet d’une attaque.
« Désactiver la récursivité ouverte sur les serveurs de noms par rapport à des sources externes et n’accepter que des requêtes de DNS provenant de sources fiables pour aider à réduire les vecteurs d’amplification pour les attaques décentralisées déni de service au DNS » – SAC008
Quand la récursivité ouverte est active sur un serveur DNS, ce serveur acceptera des requêtes de DNS provenant de n’importe quel client (n’importe quelle source d’adresse IP). Les attaquants exploitent les serveurs récursifs ouverts dans les attaques DDoS et pour les attaques par amplification. L’alerte US-CERT TA13-088A recommande à tous les opérateurs de DNS :
- De désactiver la récursivité dans les serveurs de noms faisant autorité
- De limiter la récursivité aux clients autorisés et
- D’estimer le maximum des réponses des serveurs de noms récursifs
L’Alerte TA13-088A identifie aussi les moyens que chaque organisation peut avoir pour vérifier si l’un de ses serveurs de noms est un résolveur ouvert, et énumère les sources qui décrivent comment faire cela pour le système d’exploitation principal et pour le logiciel du serveur de nom. (Remarque : TA13-088A n’a pas de ressource pour le serveur DNS Microsoft, cliquez ici).
L’équipe de sécurité de l’ICANN vous encourage à aider à réduire cette menace croissante à la sécurité, la stabilité et la résilience.