Un rapport de sécurité révèle que le nombre d'attaques d'amplification DNS fait au premier trimestre (Q1) de 2018 ont doublé. Par définition, ils sont un type de DDOS (déni de service distribué) les attaques qui sont parmi les tactiques de piratage les plus courantes. Les objectifs finaux sont de saboter les cibles en rendant les serveurs inaccessibles.
DNS amplifications Attaques Rampage! Nombre d'incidents signalés Doublement
rapports de sécurité indiquent que le nombre d'attaques d'amplification DNS ont doublé au cours des trois premiers mois de 2018 (Q1). Cela montre que les pirates ont changé la tactique en privilégiant cette méthode par rapport aux autres. Les informations publiées révèle qu'ils ont dopés presque 700% Année après année. Les attaques sont faites en accédant aux serveurs DNS ouverts pour inonder les systèmes cibles avec le trafic de réponse. Cela se fait en suivant ces étapes prédéfinies:
- Sélection cible - Les pirates Pinpoint leurs cibles en trouvant leurs serveurs DNS associés.
- Création Packets - Une fois que les criminels ont choisi leurs cibles, ils commencent à envoyer des demandes de consultation avec adresses source spoofée. En conséquence, les serveurs commencent à envoyer des réponses à un autre serveur. Les attaquants ont pour but d'inclure autant d'informations que possible.
- Amplification DNS - Les attaques sont orchestrées dès que les serveurs commencent à générer les réponses associées aux victimes de fin. L'équipe d'analyse indique que dans la plupart des cas, les requêtes aux serveurs DNS utilisent “QUELCONQUE” paramètres qui renvoie des informations toutes connues sur les zones DNS en une seule requête. En conséquence, la grande quantité de données générées qui alimente les objectifs finaux de la victime peut facilement les prendre vers le bas.
Les attaques d'amplification DNS sont facilement orchestrées sur la tactique des pirates informatiques tels que les réseaux de zombies. Dans de tels cas, il est très difficile de se défendre contre les vagues entrantes tirant parti de l'attaque. Il n'y a pas moyen facile de filtrer les données entrantes pour les paquets usurpés comme tout le contenu listes pratiquement données légitimes. Ils viennent aussi des serveurs valides.
Les criminels utilisent une combinaison de plusieurs stratégies en envoyant des requêtes de paquets utilisant le protocole de temps réseau (NTP), protocole de datagramme universel (UDP) et etc. Quand ils sont mis à profit en utilisant les réseaux de zombies ou d'autres infrastructures de pointe. Les principales sources d'attaques DDOS au 1er trimestre 2018 sont la Chine, Etats-Unis et le Vietnam en prenant d'abord, deuxième et troisième position.
DNS amplifications Attacks Méthodes d'atténuation
Les administrateurs réseau peuvent tenter d'utiliser spécialisé outils d'analyse basés sur le Web qui peuvent analyser les réseaux pour résolveurs DNS vulnérables. Cela montre que la liste des hôtes potentiels qui peuvent éventuellement être utilisés par les pirates pour des attaques d'amplification DNS. Les chercheurs en sécurité affirment qu'il est possible de filtrer quelques-unes des attaques en recherchant si les paquets reçus ont une demande de mise en correspondance.
Les fournisseurs de services Internet (FAI) peut également aider à prévenir les attaques qui ont des paquets rejetant les adresses source non accessible par le chemin du paquet. Ces changements devront être mis en œuvre par les fournisseurs de services Internet et pas tous d'entre eux ont adopté cette recommandation de sécurité. Les propriétaires de services DNS peuvent également désactiver les informations récursive aux clients externes. Selon les lignes directrices de sécurité la résolution récursive d'autres domaines n'est pas nécessaire et doit être désactivé.
Ce qui est plus frappant dans cette tactique hacker est qu'il repose sur une mauvaise configuration des services Web qui sont (par principe) du public pour une utilisation par tous les types de clients. Le fait que les attaques d'amplification DNS ont doublé au 1er trimestre 2018 montre qu'il ya beaucoup à faire par les administrateurs système, Fournisseurs de services Internet et toutes les autres parties responsables.
Martin Beltov
Martin a obtenu un diplôme en édition de l'Université de Sofia. En tant que passionné de cyber-sécurité, il aime écrire sur les menaces les plus récentes et les mécanismes d'intrusion.
Suivez-moi: