Aller au contenu Aller au menu principal Aller au menu secondaire Aller au pied de page

Avertissement concernant les serveurs DNS récursifs ouverts

Accueil > Observatoire & ressources > Actualités > Avertissement concernant les serveurs DNS récursifs ouverts
Le 04/04/06

(Information préalablement diffusée aux membres de l’AFNIC les 27 et 29 mars 2006)
Vous l’avez peut-être vu dans la presse, les attaques par déni de service utilisant des serveurs DNS pour l’amplification sont en brusque augmentation.
Ces attaques ont en commun d’utiliser des serveurs DNS récursifs ouverts. Un serveur DNS récursif est dit ouvert lorsqu’il répond à des requêtes du monde entier (et pas seulement de son réseau local, comme il devrait le faire). Il peut alors servir de relais pour l’attaque par déni de service, engageant ainsi potentiellement la responsabilité de son administrateur. La réponse DNS étant typiquement plus grosse que la requête, il y a amplification de l’attaque, permettant à l’attaquant d’économiser sa bande passante.
L’AFNIC tient à attirer l’attention sur le danger que représentent les serveurs DNS récursifs ouverts. Ils ont peu d’usages légitimes alors que leur rôle dans les attaques actuelles en fait une menace pour tout l’internet. L’AFNIC recommande fortement la fermeture de ces serveurs ouverts, selon les méthodes exposées dans les références. Par exemple, pour le serveur DNS BIND, l’usage de « recursion no » est demandé. Pour le service récursif à destination du réseau local (et des clients, pour un FAI), il faut utiliser une deuxième machine ou bien un deuxième démon sur la même machine ou encore les vues de BIND 9.
L’AFNIC, ainsi que les autres registres de TLD, poursuit la réflexion quant aux autres mesures à adopter contre ce risque. Une des possibilités discutées est le refus de servir les requêtes des serveurs DNS récursifs ouverts. Pour l’instant, les études montrent qu’une part importante de serveurs de noms sur le réseau sont des récursifs ouverts, ce qui mérite notre attention collective et devrait faire l’objet de mesures correctives de la part des gestionnaires de serveurs de noms.
Mise à jour le 12 novembre 2008
Le RFC 5358 « Preventing Use of Recursive Nameservers in Reflector Attacks », vient d’être publié et reprend les mêmes conseils. Aujourd’hui, il ne devrait plus exister des serveurs de noms récursifs publics.
Notons également, depuis notre communiqué, la publication de la faille de sécurité dite « Kaminsky », dont l’exploitation nécessite que le serveur résolveur soit accessible. Les résolveurs ouverts sont donc particulièrement vulnérables à cette faille.

Références

Securing an Internet Name Server
Une très bonne synthèse pratique pour l’administrateur système.
DNS Amplification attacks
Une bonne description des attaques actuelles.
The Continuing Denial of Service Threat Posed by DNS Recursion
L’avis du CERT états-unien.
Stop abusing my computer in DDOSes, thanks
Une description du premier cas connu de cette attaque, connu sous le nom de « x.p.ctrc.cc ».
Il est recommandé de fermer les serveurs DNS récursifs ouverts
Inclus une description détaillée de l’attaque.

À propos de l'Afnic

L’Afnic est l’Association Française pour le Nommage Internet en Coopération. Elle est l’office d’enregistrement désigné par l’État pour la gestion des noms de domaine en .fr. L’Afnic gère également les extensions ultramarines .re (Île de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques Françaises), .wf (Wallis et Futuna) et .yt (Mayotte).

Outre la gestion des extensions françaises de l’internet, le rôle de l’Afnic s’inscrit dans une mission d’intérêt général plus large, qui consiste à contribuer au quotidien, grâce aux efforts de ses équipes et de ses membres, à un internet sûr et stable, ouvert aux innovations et où la communauté internet française joue un rôle de premier plan. Ainsi, l’Afnic, association à but non lucratif, s’engage à verser annuellement 11 % de son Chiffre d’Affaires lié aux activités du .fr à des actions d’intérêt général, en affectant notamment 1,3 million d’Euros minimum chaque année à la Fondation Afnic pour la Solidarité numérique.
L’Afnic est également l’opérateur technique de registre d’entreprises et collectivités ayant choisi d’avoir leur propre extension, telle que .paris, .bzh, .alsace, .corsica, .mma, .ovh, .leclerc ou .sncf.

Fondée en 1997 et basée à Saint-Quentin-en-Yvelines, l’Afnic compte aujourd’hui près de 90 collaborateurs.