Actualités Actualités

Avertissement concernant les serveurs DNS récursifs ouverts

Accueil > Observatoire & ressources > Actualités > Avertissement concernant les serveurs DNS récursifs ouverts
Le 04/04/06

(Information préalablement diffusée aux membres de l’AFNIC les 27 et 29 mars 2006)
Vous l’avez peut-être vu dans la presse, les attaques par déni de service utilisant des serveurs DNS pour l’amplification sont en brusque augmentation.
Ces attaques ont en commun d’utiliser des serveurs DNS récursifs ouverts. Un serveur DNS récursif est dit ouvert lorsqu’il répond à des requêtes du monde entier (et pas seulement de son réseau local, comme il devrait le faire). Il peut alors servir de relais pour l’attaque par déni de service, engageant ainsi potentiellement la responsabilité de son administrateur. La réponse DNS étant typiquement plus grosse que la requête, il y a amplification de l’attaque, permettant à l’attaquant d’économiser sa bande passante.
L’AFNIC tient à attirer l’attention sur le danger que représentent les serveurs DNS récursifs ouverts. Ils ont peu d’usages légitimes alors que leur rôle dans les attaques actuelles en fait une menace pour tout l’internet. L’AFNIC recommande fortement la fermeture de ces serveurs ouverts, selon les méthodes exposées dans les références. Par exemple, pour le serveur DNS BIND, l’usage de « recursion no » est demandé. Pour le service récursif à destination du réseau local (et des clients, pour un FAI), il faut utiliser une deuxième machine ou bien un deuxième démon sur la même machine ou encore les vues de BIND 9.
L’AFNIC, ainsi que les autres registres de TLD, poursuit la réflexion quant aux autres mesures à adopter contre ce risque. Une des possibilités discutées est le refus de servir les requêtes des serveurs DNS récursifs ouverts. Pour l’instant, les études montrent qu’une part importante de serveurs de noms sur le réseau sont des récursifs ouverts, ce qui mérite notre attention collective et devrait faire l’objet de mesures correctives de la part des gestionnaires de serveurs de noms.
Mise à jour le 12 novembre 2008
Le RFC 5358 « Preventing Use of Recursive Nameservers in Reflector Attacks », vient d’être publié et reprend les mêmes conseils. Aujourd’hui, il ne devrait plus exister des serveurs de noms récursifs publics.
Notons également, depuis notre communiqué, la publication de la faille de sécurité dite « Kaminsky », dont l’exploitation nécessite que le serveur résolveur soit accessible. Les résolveurs ouverts sont donc particulièrement vulnérables à cette faille.

Références

Securing an Internet Name Server
Une très bonne synthèse pratique pour l’administrateur système.
DNS Amplification attacks
Une bonne description des attaques actuelles.
The Continuing Denial of Service Threat Posed by DNS Recursion
L’avis du CERT états-unien.
Stop abusing my computer in DDOSes, thanks
Une description du premier cas connu de cette attaque, connu sous le nom de « x.p.ctrc.cc ».
Il est recommandé de fermer les serveurs DNS récursifs ouverts
Inclus une description détaillée de l’attaque.