Le DNS, 1ère cible des attaques DDoS

Le Domain Name System (DNS) est désormais le premier service applicatif ciblé par les attaques par déni de service distribué (DDoS)[1] dont une majorité d’opérateurs et fournisseurs de services sont régulièrement victimes. De plus, les cybercriminels utilisent également désormais le DNS pour introduire des malwares et exfiltrer des données.

« La solution Infoblox a aidé Cable & Wireless Panama à atteindre son objectif d’être numéro un en termes de satisfaction client » a déclaré Hugo Aquino, vice-président de l’assistance client chez Cable & Wireless Panama. « Les incidents de service dus aux attaques DDoS ont été réduits de moitié, et les plaintes clients concernant les temps de chargement des pages web trop longs ont diminué de manière significative. Nous sommes tellement satisfaits de la performance et de la facilité de gestion du système Infoblox que nous l’avons étendu à notre trafic de réseau mobile ».

L’appareil Infoblox série 4030, le plus puissant de la gamme, peut traiter jusqu’à 5 millions de requêtes DNS à la seconde, intègre des disques durs RAID redondants, des alimentations électriques échangeables à chaud, et la détection et la protection contre les attaques DNS au niveau matériel. Face à une attaque DDoS, l’Infoblox 4030 est capable de la détecter intelligemment, et de réduire automatiquement le trafic DNS malveillants tout en laissant passer les requêtes légitimes.

Les nouvelles fonctionnalités des solutions Infoblox à destination des opérateurs préviennent davantage de menaces DNS. On compte parmi les améliorations :

• Protection contre les attaques NXDOMAIN distribuées. Ces attaques envoient d’énormes quantités de requêtes aux serveurs DNS, qui cherchent alors à résoudre un nom de domaine inexistant, ce qui se révèle un processus très chronophage. Une attaque NXDOMAIN distribuée provient d’une quantité importante de sources, dont aucune d’entre elles ne possède un volume suffisant pour déclencher les règles de protection standards, rendant ces attaques plus difficiles à identifier et à contrer. Infoblox gère désormais intelligemment les requêtes DNS entrantes pour protéger de ce type d’attaque distribuée, contribuant ainsi à maintenir la disponibilité pour les abonnés du fournisseur de service.

• Dual-engine DNS. La fonctionnalité Infoblox Dual-Engine DNS propose de commuter entre les résolveurs BIND et Unbound DNS pour offrir une meilleure protection contre les failles ciblant les serveurs DNS. En commutant facilement et immédiatement entre les moteurs DNS, les fournisseurs de services peuvent éviter l’impact d’une faille concernant l’un des moteurs, jusqu’à ce que cette faille soit résolue.

• Protection améliorée contre le DNS tunneling. Le DNS tunneling peut fournir aux cybercriminels un canal d’entrée constamment disponible pour exfiltrer des données volées ou outrepasser le système de facturation d’un opérateur pour obtenir un accès gratuit à des services comme un Wi-fi premium. Grâce à cette protection améliorée, les réseaux DNS des fournisseurs de services peuvent identifier et bloquer ce trafic malveillant sans impacter le trafic DNS légitime.