DNSBomb – Un nouveau type d’attaque qui s’appuie sur le DNS

Une nouvelle technique de cyberattaque s’appuyant sur le système DNS a été récemment découverte par des chercheurs de l’université de Tsinghua, en Chine.

Avant d’évoquer cette nouvelle attaque, rappelons la distinction entre les deux types de serveurs de noms (Nameservers) :

• Les serveurs DNS autoritaires : leur rôle est de « faire autorité » et connaître les enregistrements DNS correspondant à un domaine, une zone donnée (ex : iptwins.com) afin de répondre aux requêtes des serveurs de noms résolveurs. Les Nameservers d’IP Twins, visibles sur les WHOIS des noms de domaine sous notre gestion, sont des serveurs autoritaires.
• Les serveurs DNS dits « résolveurs » : ces serveurs interrogent les serveurs DNS autoritaires afin d’obtenir une information (par exemple : vers quoi pointe le domaine iptwins.com) pour le compte d’un utilisateur. Il s’agit principalement de serveurs DNS publics (Cloudflare, Google…), de serveurs gérés par les Fournisseurs d’Accès à Internet (FAI) ou encore par des entreprises.

L’attaque dite « DNSBomb », cible les serveurs DNS « résolveurs ». Elle exploite les caractéristiques du Système DNS afin de générer des attaques de type « déni de service (DoS) par impulsions » ou PDoS : l’attaquant accumule des requêtes DNS envoyées à faible débit, « amplifie » ces requêtes de manière à obtenir des réponses de grande taille et fait en sorte de concentrer ces dernières sur une très courte période, de manière à saturer le système ciblé. Une fois le pic atteint, l’attaquant recommence en reprenant le cumul de requêtes, d’où le qualificatif d’attaque « par impulsion ».