Bénin DNS Forum. DNS et Déni de Service Présentateur O Hervé HOUNZANDJI O Ingénieur Système O Administrateur de base de données ORACLE O Centre Hospitalier.

Présentation au sujet: "Bénin DNS Forum. DNS et Déni de Service Présentateur O Hervé HOUNZANDJI O Ingénieur Système O Administrateur de base de données ORACLE O Centre Hospitalier."— Transcription de la présentation:

1 Bénin DNS Forum

2 DNS et Déni de Service

3 Présentateur O Hervé HOUNZANDJI O Ingénieur Système O Administrateur de base de données ORACLE O Centre Hospitalier Régional Universitaire de Nancy O Université de Lorraine

4 Rappel - TCP (Transport Control Protocol) - Protocole orienté "connexion".

5 Rappel O UDP (User Datagram Protocol) O Protocole orienté "non connexion". O L'encapsulation des données envoyées par le protocole UDP ne permet pas de transmettre les informations concernant l'émetteur. O Le destinataire ne connait pas l'émetteur des données hormis son IP.

6 Rappel O DoS et DDoS (Distributed Denial of Service)

7 DDoS ? O Attaquer avec un réseau de machines (souvent compromises). O Rendre indisponible un ou plusieurs services. O Saturer la bande passante du réseau. O Épuiser une ou plusieurs ressources d’un service (ouverture d’un grand nombre de nouvelles sessions TCP dans un intervalle de temps très court). O Effectuer un nombre trop important de traitements concurrents sur une base de données.

8 Attaque par réflexion : schéma

9 Attaque par réflexion ? O Attaque où le méchant ment sur son adresse IP : - il envoie des paquets avec une adresse IP source qui n'est pas la sienne. - les réponses à ces paquets mensongers seront envoyés à l'adresse IP source indiquée, qui est celle de la victime.

10 Attaque par réflexion ?

11 Réflecteurs O Resolvers ouverts (machines pas gérées), serveurs DNS récursifs, serveurs répondant à tout l’internet. O Serveurs de domaine de premier niveau

12 Réflexion par amplification

13 Causes O Le protocole IP permet de tricher sur l’adresse IP source O UDP, protocole de transport de DNS, n’a pas de connexion O La réponse à une requête est plus grosse que la question. On atteint des facteurs d'amplification de 40 à 50. O Une mauvaise configuration de serveur DNS (DNS récursif - ne répond pas qu’aux requêtes locales mais est ouvert aux requêtes de n’importe quel système)

14 Solutions possibles O Empêcher l’usurpation d’IP (Mettre en œuvre la recommandation « BCP 38 ») O Limiter le trafic (Responsive Rate Limiting) O Fermer les resolvers ouverts (presque impossible) O Changer le DNS (utiliser TCP au lieu de UDP !)

15 BCP 38 ? O IETF : Internet Engineering Task Force

16 Limiter le trafic ? O Le rate-limiting est utilisé pour contrôler le débit du trafic envoyé ou reçu sur une interface réseau O Fichier named.conf de BIND : autoriser 20 réponses par seconde par exemple options { … rate-limit { responses-per-second 20; exempt-clients {127.0.0.1; a.b.c.0/24;}; }; }; O Autres options : qps-scale, errors-per-second, nxdomains-per-second, all-per-second, domain, max-table-size, min-table-size, and log-only.

17 Webographie O https://tools.ietf.org/html/bcp38https://tools.ietf.org/html/bcp38 O http://www.bortzmeyer.org/files/jres2013-dos- article.pdf http://www.bortzmeyer.org/files/jres2013-dos- article.pdf O https://www.ssi.gouv.fr/uploads/2015/03/NP_Guide_D DoS.pdf https://www.ssi.gouv.fr/uploads/2015/03/NP_Guide_D DoS.pdf O http://www.informatiquenews.fr/la-compatibilite-avec- de-vieux-protocoles-ouvre-la-porte-a-des-attaques-ddos- 37815 http://www.informatiquenews.fr/la-compatibilite-avec- de-vieux-protocoles-ouvre-la-porte-a-des-attaques-ddos- 37815 O https://conference.apnic.net/data/37/apricot-2014- rrl_1393309768.pdf https://conference.apnic.net/data/37/apricot-2014- rrl_1393309768.pdf

18 Pour finir O Acteurs écosystème numérique : O Coordination O Communication O Coopération O Collègues O Bonne configuration des serveurs DNS O Surveillance des serveurs

19 Merci Hervé HOUNZANDJI