SAD DNS n’est pas tristounet mais plutôt une calamité

Depuis 4 voire 5 jours, on entend (beaucoup) parler d’attaque DNS. Ils appellent l’attaque SAD DNS l’abréviation de Side channel AttackeD DNS.

Qu’en est-il ? En termes simples, l’attaquant essaie de trouver quels ports UDP sont ouverts (autre que 53). Malheureusement (pour eux) Linux permet 1000 requêtes en 20 ms. L’attaquant doit dans ces cas recommencer jusqu’à ce que son scan renvoi des réponses fiables.

Avant de revenir vers SAD DNS, en globalité, c’est du « pharming » qu’il s’agit. La redirection des sites légitimes vers des « fake » avec comme but ultime, voler identifiants, mots de passe, informations bancaires etc. Généralement c’est par un malware qui s’installe sue l’ordinateur de la victime que se propage le pharming malware.

Le « DNS poisoning » exploite les failles des logiciels, prend le contrôle des serveurs DNS et redirige le trafic Internet entre-autres.

Revenons à nos moutons, le « DNS Cache Poisoning » s’appuie sur le fait qu’il est possible de tester l’existence d’un port ouvert sur un résolveur (Serveur DNS) en lui envoyant un simple paquet UDP. Si le port est ouvert, aucune réponse n’est envoyée. S’il est fermé, l’appareil émet un message ICMP Reply pour indiquer une erreur. Bingo pour l’attaquant !

La bonne nouvelle, c’est qu’il existe plusieurs façons de contrer cette attaque. Le noyau de Linux a d’ores et déjà été patché pour rendre aléatoire le plafond de réponses ICMP. On peut également désactiver les réponses ICMP. L’usage du protocole DNSSEC réduit le périmètre de cette attaque. On pourrait également utiliser le DNS-over-TLS chiffré, DNS-over-HTTPS chiffré, DNS-over-QUIC chiffré… Notre solution de DNS RPZ et dérivés reste une parade viable.

Le service de Cloudflare, pour sa part, n’est plus vulnérable.

Référence :
https://www.cloudflare.com/fr-fr/learning/dns/dns-cache-poisoning/

https://www.grc.com/dns/dns.htm

https://www.grc.com/files/DNSBench.exe

Source :
https://dl.acm.org/doi/pdf/10.1145/3372297.3417280

Have a lot of fun 😀