Network Security

Qu'est-ce qu'une attaque NXNSA

L'attaque du serveur de noms inexistants (NXNSAttack) peut paralyser un système DNS, empêchant ainsi les utilisateurs d'accéder aux ressources Internet. Voici ce que vous devez savoir sur cette nouvelle attaque.

Le domain name system (DNS) est le protocole qui traduit un nom de domaine, par exemple paloaltonetworks.com, en une adresse IP - dans ce cas, 199.167.52.137. Le DNS est omniprésent sur l'internet ; sans lui, nous devrions mémoriser les chaînes d'adresses IP. Mais le DNS a également souffert d'un certain nombre de vulnérabilités et de cyberattaques ces dernières années. Une nouvelle attaque, appelée NoneXistent Name Server Attack (NXNSAttack), exploite une vulnérabilité exposée pour la première fois par un groupe d'universitaires.

Vidéo connexe

Comment les attaquants utilisent les DNS pour voler vos données

Une attaque NXNSA a un impact sur les résolveurs DNS récursifs, qui font partie du processus de résolution DNS (ou "lookup DNS"). Les résolveurs DNS transmettent les Demandes DNS des utilisateurs finaux aux serveurs de noms faisant autorité, qui renvoient les chaînes IP aux résolveurs DNS et, en fin de compte, aux utilisateurs finaux. Le protocole DNS comporte un mécanisme de sécurité qui permet aux serveurs faisant autorité de déléguer la recherche DNS à d'autres serveurs. C'est ce mécanisme qu'exploite l'attaque NXNSA.

Vous trouverez ci-dessous les étapes de l'attaque en termes simples.

  1. L'attaquant envoie une requête DNS (ou plusieurs Demandes DNS avec l'aide de bots) à un Résolveur DNS pour un domaine tel que attack[.]com. .

  2. Le Résolveur DNS, qui n'est pas autorisé à résoudre la requête, la transmet à un serveur faisant autorité, qui est détenu ou compromis par l'attaquant. Il n'est pas difficile de posséder un grand nombre de serveurs faisant autorité. Une fois que les attaquants ont enregistré un domaine, dans cet exemple attack[.]com, ils peuvent l'associer à n'importe quel serveur faisant autorité sur Internet.

  3. Le serveur faisant autorité compromis répond au résolveur DNS récursif qu'il va déléguer la demande de recherche à une large liste de serveurs alternatifs. La liste peut contenir des milliers de sous-domaines pour le site web de la victime.

  4. Le Résolveur DNS transmet la requête DNS à tous les sous-domaines, ce qui crée un surcroît de trafic pour le serveur faisant autorité de la victime. Le trafic massif peut faire planter le résolveur DNS de la victime.

Lorsque le Résolveur DNS d'une entreprise est bloqué, il ne répond plus aux requêtes des utilisateurs. Le site web, le commerce électronique, les chats vidéo, l'assistance et d'autres services web seront indisponibles.

Des correctifs ont été publiés pour empêcher les attaquants d'inonder les serveurs DNS. L'une des protections contre une attaque NXNSA consiste donc à maintenir le logiciel du Résolveur DNS à jour avec la dernière version.

Pour en savoir plus sur NXNSAttacks, consultez https://www.paloaltonetworks.fr/network-security/advanced-dns-security.html.

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité