Accès rapides :
[ Contenu de la page ]
[ Sommaire du site ]
[ Autres informations ]
AFNIC   english   Imprimer



 
Vous êtes ici: Accueil > Actualité et chiffres > Nouvelles > General

Avertissement concernant les serveurs DNS récursifs ouverts

Publié dans: général - 

(Information préalablement diffusée aux membres de l'AFNIC les 27 et 29 mars 2006)

Vous l'avez peut-être vu dans la presse, les attaques par déni de service utilisant des serveurs DNS pour l'amplification sont en brusque augmentation.

Ces attaques ont en commun d'utiliser des serveurs DNS récursifs ouverts. Un serveur DNS récursif est dit ouvert lorsqu'il répond à des requêtes du monde entier (et pas seulement de son réseau local, comme il devrait le faire). Il peut alors servir de relais pour l'attaque par déni de service, engageant ainsi potentiellement la responsabilité de son administrateur. La réponse DNS étant typiquement plus grosse que la requête, il y a amplification de l'attaque, permettant à l'attaquant d'économiser sa bande passante.

L'AFNIC tient à attirer l'attention sur le danger que représentent les serveurs DNS récursifs ouverts. Ils ont peu d'usages légitimes alors que leur rôle dans les attaques actuelles en fait une menace pour tout l'internet. L'AFNIC recommande fortement la fermeture de ces serveurs ouverts, selon les méthodes exposées dans les références. Par exemple, pour le serveur DNS BIND, l'usage de "recursion no" est demandé. Pour le service récursif à destination du réseau local (et des clients, pour un FAI), il faut utiliser une deuxième machine ou bien un deuxième démon sur la même machine ou encore les vues de BIND 9.

L'AFNIC, ainsi que les autres registres de TLD, poursuit la réflexion quant aux autres mesures à adopter contre ce risque. Une des possibilités discutées est le refus de servir les requêtes des serveurs DNS récursifs ouverts. Pour l'instant, les études montrent qu'une part importante de serveurs de noms sur le réseau sont des récursifs ouverts, ce qui mérite notre attention collective et devrait faire l'objet de mesures correctives de la part des gestionnaires de serveurs de noms.

Mise à jour le 12 novembre 2008

Le RFC 5358 "Preventing Use of Recursive Nameservers in Reflector Attacks", vient d'être publié et reprend les mêmes conseils. Aujourd'hui, il ne devrait plus exister des serveurs de noms récursifs publics.

Notons également, depuis notre communiqué, la publication de la faille de sécurité dite "Kaminsky", dont l'exploitation nécessite que le serveur résolveur soit accessible. Les résolveurs ouverts sont donc particulièrement vulnérables à cette faille.

-=-=-=-=-=-=-

Références

à noter




Mon compte
Accès réservé aux Membres,
Bureaux d'enregistrement et Partenaires.
Je m'identifie

-=- Mots-clés
                                       

En savoir plus :
-=-
Contact presse

© AFNIC 2003-2010 - Contactez-nous  - Mentions légales - Plan du site - Certificats - Flux RSS et Atom

  1. Contacts ;

  2. Présentation ;

  3. Coopération
    internationale ;

  4. Veille technologique et R&D ;

  5. Adhésion ;

  6. Formalités pour devenir bureau d'enregistrement ;

  1. Initiation ;

  2. Guide animé ;

  3. Les extensions ;

  4. 7 bonnes raisons ;

  1. Faites-vous un nom ;

  2. Disponibilité ;

  3. Chartes ;

  4. Bureaux d'enregistrement ;

  5. Après l'enregistrement ;

  1. Formulaires ;

  2. Whois ;

  3. Accès aux données Whois ;

  4. ZoneCheck ;

  1. Actualités des opérations ;

  1. Interface registre ;

  2. Formations ;

  3. FAQ ;

  4. Lexique ;

  5. Références juridiques et techniques ;

  6. Politique de registre ;

  7. Autres domaines (TLD) et autres registres ;

  8. Liens et informations utiles ;

  1. Nouvelles ;

  2. Agenda ;

  3. Statistiques ;

  4. Observatoire du marché ;

  5. Espace presse ;