Rejoignez-nous sur #zone-h @ irc.eu.freenode.net
RECHERCHE
Menu principal
Accueil
Nouvelles de Zone-H
Nouvelles du monde
Avis de sécurité
Téléchargements
Zone-H works
Attaques numériques
 Attaques Francophones
 Archive des attaques
 Archive des attaques 
 Notifier defacements
Restez à l'écoute
 Inscription Listes de diffusion
Zone publique active
 T'chat IRC
 Contact
 Performances du Staff
 Le Staff de Zone-H
NOUVELLES DE ZONE-H
Des attaques DDoS exploitent les serveurs DNS
 
Siegfried
26/01/2009
  
Des attaques par dénis de service distribués ont été constatées la semaine dernière, celles-ci exploitaient des serveurs DNS récursifs dits "ouverts", c'est à dire autorisant la résolution d'adresses par n'importe qui.

Déjà début janvier quelques tests de balayage avaient été notés par l'Internet Storm Center, et c'est bien l'hébergeur Isprime qui en a fait les frais en premier, leurs serveurs, et en particuliers leurs serveurs de nom, ont été la cible de pirates bien malicieux qui ont exploité des serveurs DNS mal configurés: 750,000 serveurs DNS ont ainsi pu amplifier les attaques en répondant malencontreusement aux requêtes des pirates dont les IPs sources ont été remplacées par celles d'Isprime. A noter que ces requêtes demandaient le contenu de la zone racine car la réponse est assez grande.

Des spéculations ont également été faites après que NetworkSolutions furent eux aussi victimes d'une autre attaque DDoS vendredi dernier qui a ralenti la résolution des domaines de leurs clients pendant plusieurs heures. Leurs serveurs de nom étaient là encore pris pour cible, même si la cause de cette attaque n'a pas été publiée, il est probable qu'elle fut élaborée de la même manière.
Voici ce que vous avez probablement trouvé dans vos journaux au cours de la semaine dernière:
Jan 22 19:24:22 *************** named[27457]: client 66.230.128.15#17247: query (cache) ‘./NS/IN’ denied
Jan 22 19:24:24 *************** named[27457]: client 66.230.160.1#31622: query (cache) ‘./NS/IN’ denied
Jan 22 19:24:24 *************** named[27457]: client 66.230.128.15#60407: query (cache) ‘./NS/IN’ denied

Quelle est la solution pour contrer ces attaques? Bien configurer son serveur Bind pour ne pas le laisser "ouvert", même s'il renverra une réponse de refus à la victime, cela n'amplifiera pas le volume de l'attaque. L'ISC a également mis en ligne un test afin de vérifier la bonne configuration de votre serveur:

http://isc1.sans.org/dnstest.html


Commentaires:



nom ou pseudo:
Ville/Pays: (Facultatif)
Email: (Facultatif)
message:
Recopier le code:

Envoyer




  En parler sur le forum...
  S'inscrire à la liste de diffusion...

Creative Commons License
Le contenu de ce site est sous Contrat Public Creative Commons.