République Algérienne Démocratique et Populaire

Ministère de l’enseignement supérieur et

de la recherche scientifique
Université AbderrahmaneMira de Bejaïa
Faculté des sciences exactes
Département informatique
Spécialité: Administration et sécurité des réseaux M2
Module: Système sécurité
Thème

Sécurité DNS

Réalisé par:
HAROUN Rekia
ISAHNOUNEN Kahina
Dirigé par:
HEROUR Hilda
Mme BETTAT N,
DJAOUD Lilia
IDRICI Kenza
Powerpoint Templates Page 1
2018/2019
PLAN

Introduction

I Présentation du DNS

II La sécurité de DNS

Conclusion

Références Bibligraphiques
Page 2
 Introduction

L’Internet est aujourd’hui critique pour l’économie comme

pour la vie de notre société. Il repose sur une infrastructure très
répartie et opérée par des acteurs divers : fournisseurs d’accès,
points d’échange et d’interconnexion..., Ces acteurs apportent
chacun une contribution essentielle au fonctionnement de
l’Internet, et chacun est sujet à des menaces spécifiques. Parmi
ces éléments essentiels de l’Internet : le « DNS » ou « Domain
Name System ».

Page
13
 I.
Présentation de DNS

Page 4
I. Présentation de DNS
I.1 Qu'est-ce qu'un serveur DNS ?

Est un service dont la principale fonction est de

traduire un nom de domaine en adresse IP, permet
d'associer à site web une adresse IP, comme un
annuaire téléphonique permet d'associer un numéro
de téléphone à un nom d'abonné.

Conçu en 1983 par Jon Postel et Paul Mockapetris,

le DNS est aujourd'hui incontournable dans
l'univers de la navigation sur le Web.

le dépôt d'un nom de domaine, s'effectue auprès

d'un organisme intermédiaire entre les demandeurs
de noms de domaine, et l'ICANN société à but non
lucratif responsable de l'allocation des adresses IP
dans le monde via le système des noms de
domaine.[2]
Page25
I. Présentation de DNS

II.2 L’espace de noms

On appelle « nom de domaine » chaque
nœud de l'arbre, L'ensemble des noms de
domaine constitue ainsi un arbre inversé
où chaque nœud est séparé du suivant par
un point (« . »).

Le mot « domaine » correspond

formellement au suffixe d'un nom de
domaine, c'est-à-dire l'ensemble des
étiquettes de nœuds d'une arborescence, à
l'exception de l'hôte.

Le nom absolu correspondant à l'ensemble

des étiquettes des noeuds d'une
arborescence, séparées par des points, et
terminé par un point final, est appelé
schéma 1 : La structure de système DNS [5] adresse FQDN .

Page
36
I. Présentation de DNS

I.3 La "résolution de noms"

C ’est un mécanisme qui consiste à trouver l'adresse IP correspondant au nom d'un hôte

L'application permettant de réaliser cette opération (généralement intégrée au système

d'exploitation) est appelée « résolveur »

Lorsqu'une application souhaite se connecter à un hôte connu par son nom de domaine
(par exemple « www.commentcamarche.net »), celle-ci va interroger un serveur de noms
défini dans sa configuration réseau

Chaque machine connectée au réseau possède en effet dans sa configuration les adresses
IP de deux serveurs de noms de son fournisseur d'accès [5].

Page
47
Suite

Une requête est ainsi envoyée au premier

serveur de noms. Si celui-ci possède
l'enregistrement dans son cache, il
l'envoie à l'application, dans le cas
contraire il interroge un serveur racine
(dans notre cas un serveur racine
correspondant au TLD « .net »). Le
serveur de nom racine renvoie une liste
de serveurs de noms faisant autorité sur le
domaine (dans le cas présent les adresses
IP des serveurs de noms primaire et
secondaire de commentcamarche.net).
Le serveur de noms primaire faisant
autorité sur le domaine va alors être
interrogé et retourner l'enregistrement
correspondant à l'hôte sur le domaine
(dans notre cas www) [5].
schéma 2 : résolution de nom de domaine [5]. Page
58
I. Présentation de DNS

I.4 Types de Serveurs DNS

Le serveur Le serveur
Le serveur cache les serveurs racine
primaire secondaire

serveur d'autorité obtient les données Ne constitue sa base Ils connaissent les
sur sa zone : il tient de zone via le d'information qu'à serveurs de nom
à jour un fichier réseau, à partir d'un partir des réponses ayant autorité sur
appelé "fichier de autre serveur de nom des serveurs de tous les domaines
zone", qui établit qui détient l'autorité noms. Il inscrit les racine. Les serveurs
les correspondances pour la zone correspondances racine connaissent
entre les noms et considérée. Il est nom / adresse IP au moins les
les adresses IP des capable de répondre dans un cache avec serveurs de noms
« hosts » de sa aux requêtes de une durée de validité pouvant résoudre le
zone. noms Ip (partage de limitée (Ttl) . premier niveau
charge), et de (.com, .edu, .fr, etc.)
secourir le serveur [3] .
primaire en cas de
panne.
Page
69
I. Présentation de DNS

II.5 Les types de requêtes DNS

Requête récursive

Lorsqu'un serveur
DNS reçoit une
requête récursive, il
doit donner la
réponse la plus
complète possible.
C'est pourquoi le
serveur DNS est
souvent amené à
joindre d'autres
serveurs de noms
dans le but de
trouver la réponse
exacte. [3]

Figure 1 : présentation de la requête récursive Page

7 10
Suite

Requête itérative

Lorsqu'un serveur
reçoit une requête
itérative, il renvoie
la meilleure
réponse qu'il peut
donner sans
contacter d'autres
serveurs. [3]

Figure 2 : présentation de la requête itérative Page

8 11
 II .
La sécurité de DNS

Page 12
II . La sécurité de DNS

II.1 Sécuriser la plateforme DNS

Les serveurs DNS traditionnels offrent plusieurs surfaces d’attaque et rendent vulnérables
des ports supplémentaires, tels que les ports 80 et 25.

Les pirates peuvent passer par les ports 80 et 25 pour accéder au système d’exploitation et
s’introduire à mauvais escient dans vos serveurs.

Si vos serveurs DNS ne prennent pas en charge des privilèges de sécurité à plusieurs
niveaux, n’importe quel utilisateur est susceptible d’accéder aux privilèges des comptes,
au niveau du système d’exploitation, et modifier la configuration de façon à ouvrir l’accès
à vos serveurs à des personnes mal intentionnées. De plus, les mises à jour des serveurs
DNS conventionnels reposent sur des processus manuels laborieux [4].

Page
9 13
II . La sécurité de DNS

II.2 Les principales techniques de sécurisation

Chaque acteur présent sur Internet est un maillon d’une chaîne de valeur où
tous sont interdépendants. Les conseils suivants ne sont donc pas destinés à une
catégorie d’acteurs en particulier mais à tous ceux qui participent du
fonctionnement du DNS : gestionnaires de domaines de premier niveau (registre),
bureaux d’enregistrement, entreprises, fournisseurs d’accès.[6]

• Veiller à utiliser des versions à jour des logiciels DNS

• Assurer une surveillance régulière de ses serveurs et de leur configuration
• Envisager de déployer DNSSEC
• Définir un « Plan de continuité d’activité »

Page
1014
II . La sécurité de DNS

II.2 Les principales techniques de sécurisation

De manière à ce qu’un serveur affecté par une attaque
Assurer la puisse être remplacé en toute transparence par d’autres
meilleure serveurs disposant des mêmes informations mais situés sur
redondance d’autres réseaux. C’est la raison pour laquelle les registres
possible
de noms de domaine, tel l’AFNIC, exigent toujours que
chaque nom de domaine soit installé sur au moins deux
serveurs de noms. D’autres techniques plus élaborées
Veiller à utiliser
des versions à Notamment de BIND, corrigées par les « patchs »
jour des appropriés, a fin de ne pas être vulnérable à des attaques
logiciels DNS
portant sur des failles de sécurité déjà bien identités.

Permettant à la victime d’une attaque de poursuivre,

ou de reprendre en cas d’incident grave, ses activités avec
Définir un « Plan
un minimum d’indisponibilité de ses services. Cette
de continuité
précaution est particulièrement essentielle pour tous ceux
d’activité »
qui dépendent d’Internet Page1115
Suite
Il est souvent arrivé, en raison de la robustesse du
Assurer une DNS, que la panne de serveurs ne soit détectée que lorsque
surveillance
le dernier d’entre eux tombe en panne. Pour vérifier la
régulière de ses
serveurs et de leur configuration, il existe des logiciels libres comme
configuration ZoneCheck. Pour assurer la surveillance depuis l’extérieur,
l’organisation qui ne souhaite pas déployer une
infrastructure spécifique peut faire appel à des services
commerciaux ou communautaires existants ,

protocole de sécurisation du DNS par l’authentification

Envisager de
des serveurs, ce système limitant notamment les attaques
déployer DNSSEC
par empoisonnement

Page
1216
 II, La sécurité de DNS

II.3 Protéger le DNS contre les attaques

Il est essentiel de protéger l’infrastructure DNS de toute agression extérieure. Les serveurs
DNS faisant autorité étant accessibles depuis Internet, Il est tout aussi important d’éviter que
ces serveurs deviennent un vecteur d’attaque (attaque par réflexion) et une menace pour les
autres [4].
Les grands types d’attaques visant le DNS et
les noms de domaine
Attaques visant Attaques ne visant pas
directement le DNS directement le DNS

l’empoisonnement le Fastflux
le cybersquatting le « détournement »
ou le vol le déni de service la réflexion

la réflexion combinée à
l’amplification

Schéma 3 :schéma représentatif de déférentes types d’attaque visant le DNS: réalisé par nos soins
Page 17
13
II. La sécurité de DNS

II.3 Protéger le DNS contre les attaques

II.3.1 Un exemple réel : l’attaque de février 2007 contre le système racine

Le graphique ci-contre met en exergue l’impact de l’attaque du 6 février 2007 contre les 13
serveurs sur lesquels repose le système racine du DNS

Schéma 4: Requêtes sur les serveurs DNS [6]. Page

1518
14
Suite

On voit clairement dans ce graphique que certains serveurs sont beaucoup plus
touchés que d’autres : « M », « L » et « G » notamment

Ceux-ci ne forment cependant qu’une minorité, fortement impactés entre 10

heures et 16 heures avant de revenir progressivement à des temps de résolution plus
habituels.

Malgré les ressources engagées dans cette attaque, celle-ci ne s’est finalement
pas révélée critique, la plupart des internautes dans le monde n’ayant expérimenté
aucune dégradation du service. S’il est relativement aisé d’impacter le DNS ou la
performance d’un serveur, il est beaucoup plus difficile de le faire sur une longue
durée et surtout si l’on ne veut pas être repéré [6].

Page
1519
II. La sécurité de DNS

II.3 Protéger le DNS contre les attaques

II.3.2 Solution de sécurité pour détecter et contrer les attaques DNS

Les solutions Efficient IP s’appuient sur des technologies à la fois innovantes très
performantes pour lutter contre les menaces DNS. Ces solutions garantissent une protection
inégalée des services DNS, quel que soit le type d’attaque [7], parmi ces solutions nous
avons:

1- DNS
Guardian 3- Hybrid DNS
Engine

5-DNS Firewall

2- DNS Blast
4- DNS Cloud

Page
1620
 Conclusion

le DNS reste un système particulièrement robuste dans son ensemble,

capable non seulement de supporter des usages de plus en plus intensifs et
diversifiés de l’Internet, mais aussi de résister à des attaques massives.
Cela n’exclut pas pour autant le recours à des mesures destinées à le
protéger encore mieux, les dispositifs adoptés par chaque acteur pris
isolément pouvant d’ailleurs s’avérer beaucoup plus faciles à briser que le
système dans sa globalité. Toute structure présente sur Internet doit donc
s’assurer que cette présence ne repose pas, sans qu’elle s’en doute, sur des
bases trop fragiles

Page
1721
Référence bibliographie

[2] https://www.journaldunet.fr/web-tech/dictionnaire-du-
webmastering/1203373-dns-serveur-dns-domain-name-system-definition-
traduction/

[3] https://slideplayer.fr/slide/481727/

[4] https://www.exclusive-networks.com/fr/wp-
content/uploads/sites/11/2018/02/Infoblox_Whitepaper-Concevoir-une-
architecture-DNS-s%C3%A9curis%C3%A9e-A4.pdf

[5] https://www.commentcamarche.net/contents/518-dns-systeme-de-noms-
de-domaine#definition

[6] https://www.afnic.fr/medias/documents/afnic-dossier-dns-attaques-
securite-2009-06.pdf

[7] https://www.interdata.fr/wp-content/uploads/2017/01/Efficient-IP-
Menaces-de-s%C3%A9curit%C3%A9-DNS-whitepaper-1.pdf
Page
1822
Merci pour votre
attention

Page 23